IT202100017405A1

IT202100017405A1 - “metodo e sistema per la decifratura di messaggi cifrati end-to-end per intercettazione legale”

Info

Publication number: IT202100017405A1
Application number: IT102021000017405A
Authority: IT
Inventors: Jovan Golic
Original assignee: Telecom Italia Spa
Priority date: 2021-07-01
Filing date: 2021-07-01
Publication date: 2023-01-01
Also published as: EP4364348A1; WO2023275775A1

Description

?METODO E SISTEMA PER LA DECIFRATURA DI MESSAGGI CIFRATI END- TO- END PER INTERCETTAZIONE LEGALE?

DESCRIZIONE

Sfondo dell?invenzione

Campo dell?invenzione

La presente invenzione riguarda un metodo e un sistema per la decifratura di messaggi cifrati.

Pi? in particolare, l?invenzione concerne l?intercettazione legale e la decifratura di comunicazioni end-to-end tra dispositivi endpoint.

La presente invenzione affronta l?importante problema di ordine pratico di conciliare le legittime esigenze delle forze dell?ordine (LEA, Law Enforcement Agencies) di accedere in maniera legale a dati trasmessi su reti di comunicazioni con le esigenze della societ? (cittadini, aziende, organizzazioni, etc.) di proteggere la riservatezza e la confidenzialit? dei dati mediante crittografia end-to-end (E2E). L?accesso legale ai dati prevede intercettazione legale e raccolta di dati. In breve, il problema consiste nell?accedere a dati in chiaro ricavati da dati cifrati allorquando ad una forza dell?ordine non sia nota la sottostante chiave crittografica di decifratura.

Senza crittografia E2E l?accesso legale ? semplice, ma i dati sono in tal caso anche esposti ad accesso illegale. Ci? ? chiaramente indesiderabile, specialmente nelle reti mobili di ultima generazione (5G e oltre), in ragione della trasmissione e memorizzazione di grandi quantit? di dati generati da persone o macchine e risultanti da nuove applicazioni ora utilizzabili grazie a comunicazioni ad alta velocit? e bassa latenza e ad una connettivit? onnipresente e diffusa che coinvolge un numero sempre maggiore di dispositivi endpoint, ad esempio in comunicazioni massive Internet of Things (mIoT) e tra macchine.

In un simile scenario ci saranno in futuro molti pi? dati sensibili (ad es. dati o metadati riservati, segreti industriali e dati mission-critical) da proteggere. Inoltre, l?assenza di crittografia E2E rende possibile una sorveglianza di massa (incontrollata e globale) del cyberspazio mediante monitoraggio del traffico sulle reti di comunicazioni, il che ? generalmente considerato in contrasto con i diritti umani fondamentali.

Panoramica dell?arte nota

Una tecnica nota nel presente settore tecnico ? il deposito in garanzia della chiave (key escrow), che consente il recupero autorizzato di una chiave di sessione mediante il recupero di una chiave utente master. Ci? si ottiene cifrando la chiave di sessione presso un dispositivo endpoint trasmittente con un?associata chiave master simmetrica segreta conservata in modo sicuro nel dispositivo endpoint trasmittente, inviando tale chiave di sessione cifrata insieme con un messaggio cifrato E2E, e depositando la corrispondente chiave master segreta in garanzia, la quale ? messa a disposizione di forze dell?ordine autorizzate in presenza di determinate condizioni. La memorizzazione della chiave master segreta depositata ? di tipo distribuito, nel senso che due quote della chiave sono conservate in custodia protetta presso due enti governativi autorizzati agenti in qualit? di depositari (KEA, Key Escrow Agents), cosicch? la chiave master segreta depositata viene recuperata sotto responsabilit? condivisa. Questa chiave master recuperata viene quindi utilizzata da una forza dell?ordine per recuperare la chiave di sessione di una sessione avviata dal dispositivo endpoint trasmittente. Un importante problema di questo metodo consiste nella perdita di segretezza forward e backward in quanto, una volta recuperata la chiave master segreta di un dispositivo endpoint, essa pu? poi essere utilizzata per decifrare tutte le sessioni e i messaggi cifrati E2E avviate/originati da tale dispositivo endpoint. In aggiunta, siccome la chiave master segreta ? simmetrica e dipende dall?utente, ? necessario depositare in garanzia le chiavi master segrete di tutti gli utenti, il che pu? essere poco sicuro o poco pratico.

Un metodo di key escrow ? proposto in S. Micali, ?Fair public-key cryptosystems?, Proc. Crypto ?92, LNCS 740, pp. 113-38, 1993, mentre il corrispondente sistema commerciale di key escrow che fa uso di questo metodo ? descritto pi? in dettaglio in US 5,872,849. Pi? specificamente, US 5,872,849 descrive un sistema e un metodo crittografico con funzione di deposito in garanzia di una chiave master asimmetrica che utilizza una suddivisione verificabile in pi? quote delle chiavi master di decifratura private degli utenti, e che invia tali quote ad agenti depositari fidati scelti da particolari utenti, mettendo a disposizione un sistema che utilizza certificati di chiave pubblica per le corrispondenti chiavi master di cifratura pubbliche e un dispositivo a chip fidato per ricostruire le chiavi master di decifratura private dalle loro quote ricevute dai KEA.

US 6,026,163 descrive un crittosistema a chiave suddivisa di tipo distribuito e una relativa applicazione in un ambiente di chiave pubblica, in cui ciascuno di una pluralit? di fiduciari seleziona indipendentemente la propria coppia di chiavi segreta/pubblica. I fiduciari combinano le proprie chiavi di cifratura pubbliche in una singola chiave di cifratura pubblica, quest?ultima essendo utilizzata per cifrare le offerte in un?asta elettronica.

Il lavoro di ricerca di ?Balancing societal security with individual privacy: Accountable escrow system?, Proc. IEEE 27<th >Computer Security Foundations Symposium, pp. 427-440, 2014, propone un sistema di decryption escrow (anzich? di key escrow) basato sul crittosistema a chiave pubblica Diffie-Hellman (cifratura ElGamal). Il sistema di decryption escrow permette il recupero dei messaggi senza dover ricostruire alcuna chiave privata di decifratura depositata, il che violerebbe la segretezza forward/backward. In fase di configurazione, ogni utente e ogni agente depositario di decifratura (DEA, Decryption Escrow Agent) genera la propria coppia di chiavi Diffie-Hellman pubblica/privata. Il sistema prevede un?autorit? di certificazione (CA, Certification Authority) fidata che coopera con ogni utente nella fase di configurazione per calcolare, con opportuna casualizzazione, una chiave pubblica di escrow associata all?utente, la quale deve essere ripetutamente utilizzata per la cifratura di messaggi inviati all?utente. Il testo cifrato pu? essere decifrato dall?utente destinatario utilizzando la propria chiave privata Diffie-Hellman oppure, separatamente, mediante la cooperazione di agenti DEA che utilizzeranno le proprie chiavi private Diffie-Hellman; ci? significa che la decifratura E2E ? vincolata alla decifratura escrow.

Il lavoro di ricerca ?Escrow decryption protocols for lawful interception of encrypted data,? IET Information Security, vol. 13, pp. 498-507, 2019 propone un altro sistema di decryption escrow che prevede di vincolare la decifratura E2E eseguita dall?utente destinatario alla decifratura escrow eseguita dalla forza dell?ordine in cooperazione con i DEA. In fase di configurazione, la forza dell?ordine LEA genera la propria coppia di chiavi Diffie-Hellman pubblica/privata e ogni utente genera due coppie di chiavi Diffie-Hellman pubblica/privata. Mediante l?interazione fra ciascun utente e un agente CEA, viene quindi generata una chiave pubblica/privata di escrow dell?utente da utilizzarsi ripetutamente per la cifratura/decifratura dei messaggi inviati a tale utente. Inoltre, per ogni DEA viene generata una quota di chiave privata di decifratura escrow utente-specifica che viene inviata al DEA dalla CA. Il testo cifrato inviato all?utente destinatario pu? essere decifrato da tale utente e, separatamente, mediante cooperazione della forza dell?ordine e degli agenti DEA.

Esistono poi alcune proposte che prevedono l?uso di middlebox fidate per l?intercettazione legale di dati cifrati E2E. Le middlebox sono dispositivi di rete fidati che sono autorizzati ad intercettare, ispezionare ed eventualmente modificare o manipolare il traffico di rete per vari scopi, in accordo con specifiche impostazioni di accesso in lettura e/o scrittura a metadati o dati (ad es. reindirizzare o filtrare pacchetti di rete). L?impiego di middlebox fidate per l?intercettazione legale di dati cifrati E2E richiede l?accesso a chiavi di sessione di cifratura, il che pu? essere ottenuto modificando i protocolli crittografici esistenti in violazione del principio di cifratura E2E per permettere alle middlebox fidate di agire in qualit? di intermediario. Ad esempio, nel lavoro di ricerca di

?Multi-Context TLS (mcTLS): Enabling secure in-network functionality in TLS,? Proc. SIGCOMM ?15, Londra, pp. 199-212, 2015, si propone di estendere il gi? largamente diffuso protocollo crittografico TLS (Transport Layer Security) per includere middlebox fidate.

Sintesi dell?invenzione

La Richiedente ha osservato che, nonostante gli sforzi gi? profusi, non esiste ancora una soluzione pratica soddisfacente per conciliare le esigenze delle forze dell?ordine (LEA) di accedere in modo legale a dati trasmessi su reti di comunicazioni con le esigenze della societ? (cittadini, aziende, organizzazioni, ecc.) di proteggere la riservatezza e la confidenzialit? dei dati mediante cifratura end-to-end (E2E). Il problema che si pone ? essenzialmente come permettere l?accesso a dati in chiaro ricavati da dati cifrati allorquando la sottostante chiave crittografica di decifratura non ? nota ad una forza dell?ordine.

In particolare, le due proposte di decryption escrow contenute rispettivamente nei lavori di ricerca di

?Balancing societal security with individual privacy: Accountable escrow system?, Proc. IEEE 27<th >Computer Security Foundations Symposium, pp.

427-440, 2014 e di D. Nu?ez, I. Agudo, J. Lopez, ?Escrow decryption protocols for lawful interception of encrypted data,? IET Information Security, vol. 13, pp. 498-507, 2019 non sono idonee come soluzioni pratiche ai fini dell?intercettazione legale sotto vari aspetti, tra cui la difficolt? di adattamento a scenari mobili, dove la LEA responsabile dell?intercettazione legale dipende dalla posizione corrente del dispositivo endpoint bersaglio, il fatto che l?intercettazione legale opera solo sul traffico dati entrante di un dispositivo endpoint bersaglio, e l?esigenza di disporre di terze parti fidate, che potrebbero compromettere la sicurezza. Inoltre, il legame fra decifratura E2E e decifratura escrow ? indesiderabile in quanto permette l?intercettazione legale di dati di traffico di rete raccolti in modo illegittimo. Un?altra propriet? indesiderabile consiste nel fatto che il metodo di cifratura ? applicato, in entrambe le soluzioni proposte, a messaggi anzich? a brevi chiavi di sessione, il che risulta inefficiente dal punto di vista computazionale (ad es. a messaggi di posta elettronica a livello applicativo).

La presente invenzione prevede il recupero autorizzato della chiave di sessione quale metodo legittimo per accedere legalmente ai dati. I metodi di recupero della chiave di sessione attinenti alla presente invenzione sono in relazione con i cosiddetti sistemi di deposito in garanzia o, pi? precisamente, con sistemi ?key escrow? o ?decryption escrow?.

In una sessione tra due dispositivi endpoint ? possibile utilizzare, anzich? una singola chiave di sessione (simmetrica) bidirezionale, due diverse chiavi di sessione (simmetriche) unidirezionali, una per ogni direzione di comunicazione. Allo stesso modo, ? possibile utilizzare una diversa chiave di messaggio (simmetrica) unidirezionale per ogni messaggio comunicato da un dispositivo endpoint all?altro nell?ambito di una sessione. Si assume qui che il termine ?chiave di sessione? copra da solo tutti questi casi, che il termine ?endpoint trasmittente? sia il punto finale che avvia una sessione, e che il termine ?endpoint ricevente? sia riferito al primo messaggio in una sessione.

Secondo la presente invenzione, un dispositivo endpoint che avvia una sessione crittografa la chiave di sessione utilizzando una chiave di cifratura escrow. La chiave di sessione ? recuperata in ambito condiviso decifrando la chiave di sessione cifrata attraverso la cooperazione della forza dell?ordine (LEA, Law Enforcement Agent) con una serie di agenti depositari della chiave (KEA, Key Escrow Agents) o agenti garanti di decifratura (DEA, Decryption Escrow Agents), in presenza di specifiche condizioni e appropriate autorizzazioni. La LEA e i KEA o i DEA sono provvisti di quote private di informazioni di decifratura escrow che permettono questa decifratura, le quali vengono generate, insieme con detta chiave di cifratura escrow, durante una fase di configurazione del sistema di intercettazione legale secondo la presente invenzione. Preferibilmente, la LEA e i KEA o i DEA sono tutti indipendenti l?uno dall?altro.

Pi? specificamente, la presente invenzione riguarda un sistema e un metodo per il recupero della chiave di sessione per cifratura E2E di dati user plane in reti di comunicazione mobile, in modo da consentire ad una forza dell?ordine di avere accesso legale ai dati dell?utente. Il sistema e il metodo secondo la presente invenzione possono essere adattati alla mobilit? dei dispositivi endpoint in scenari di roaming che richiedono soluzioni cross-border. Secondo una forma di realizzazione della presente invenzione, la generazione delle chiavi di sessione per cifratura E2E ? separata dal recupero delle chiavi di sessione. Secondo una forma di realizzazione della presente invenzione, la chiave di sessione autenticata ? generata sulla base di coppie di chiavi pubblica/privata a lungo termine associate a dispositivi endpoint, in cui, preferibilmente, le chiavi pubbliche sono autenticate da un corrispondente operatore di rete mobile (MNO, Mobile Network Operator). Il tipo di algoritmo di cifratura E2E (simmetrico) pu? essere negoziato durante l?instaurazione della connessione di rete, e un protocollo preferito ? un protocollo di scambio di chiavi Diffie-Hellman effimere.

In una forma di realizzazione preferita, la cifratura E2E di dati user plane viene eseguita ad un livello di rete, con autenticazione dei dispositivi endpoint gestita dagli MNO responsabili della comunicazione tra i dispositivi endpoint stessi. I dispositivi endpoint possono essere controllati da persone oppure da programmi informatici, operando cos? come macchine autonome. Come gi? precedentemente descritto, il metodo di recupero della chiave di sessione ? essenzialmente di tipo escrow, in cui la chiave di sessione ? cifrata da un dispositivo endpoint che avvia una sessione (o che invia un messaggio in una sessione) utilizzando una chiave di cifratura escrow, eventualmente in funzione del dispositivo endpoint trasmittente e/o ricevente e/o della LEA corrispondente. In una forma di realizzazione preferita, la cifratura della chiave di sessione ? attivata dal corrispondente MNO dietro opportuna autorizzazione in tempo reale della LEA (ad es. attraverso un ordine del tribunale).

La chiave di sessione cifrata viene quindi associata come allegato ad una corrispondente sessione cifrata E2E e viene inviata alla LEA, preferibilmente all?inizio della sessione, dal corrispondente MNO insieme con i dati user plane cifrati E2E, per essere decifrata mediante cooperazione tra la LEA e una serie di DEA associati, che preferibilmente verificano l'autorizzazione della LEA all?intercettazione legale prima di procedere con la decifratura. La LEA e i DEA sono provvisti di quote private di informazioni di decifratura escrow che consentono questa decifratura, le quali, insieme con detta chiave di cifratura escrow, sono generate durante una fase di configurazione del sistema di intercettazione legale secondo la presente invenzione. L?esito positivo del recupero della chiave di sessione pu? essere verificato utilizzando un meccanismo di integrit? dei dati, come una somma di controllo crittografica (ad es. un codice di autenticazione del messaggio) incorporata nei dati user plane cifrati. La somma di controllo pu? essere ricavata dalla chiave di sessione, dagli identificativi dei dispositivi endpoint e dai dati user plane.

Secondo una forma di realizzazione della presente invenzione, la cifratura della chiave di sessione ? basata su una cifratura escrow in chiave pubblica casualizzata della chiave di sessione, in cui la corrispondente funzione di decifratura escrow ? espressa in termini di una funzione che ? omomorfica rispetto ad una chiave privata di decifratura escrow, come si spiegher? pi? avanti. Ci? consente la decifratura escrow condivisa della chiave di sessione cifrata da parte della LEA e dei DEA, che eseguono individualmente funzioni di decifratura escrow parziale sulle proprie quote private di informazioni di decifratura escrow, senza recuperare la chiave privata di decifratura escrow. I DEA inviano i rispettivi risultati di decifratura escrow parziale alla LEA, la quale li combina insieme con il proprio risultato di decifratura parziale per recuperare la chiave di sessione. La cifratura escrow in chiave pubblica casualizzata della chiave di sessione garantisce segretezza forward e backward perch? un nuovo parametro casuale generato per ogni nuova sessione richiede l?esecuzione di funzioni di decifratura escrow parziale ad ogni nuova sessione. Il corretto recupero della chiave di sessione pu? essere verificato utilizzando il meccanismo di integrit? dei dati sopra descritto e, in caso di esito negativo, sar? possibile disabilitare ulteriori sessioni o connessioni di rete del corrispondente dispositivo endpoint trasmittente.

Si deve notare che l?intercettazione legale rispetto ad un dispositivo endpoint ? regolata dalla legge locale della nazione in cui il dispositivo endpoint ? situato. Ne consegue che la cifratura escrow che permette l?intercettazione legale del traffico dati tra due determinati dispositivi endpoint pu? essere attivata solamente per le forze dell?ordine autorizzate nei rispettivi paesi in cui si trovano i due dispositivi endpoint bersaglio. Se i due dispositivi endpoint bersaglio si trovano nello stesso paese, la LEA autorizzata sar? la stessa per entrambi i dispositivi, mentre se i paesi sono diversi anche le LEA autorizzate saranno diverse. Nel primo caso, la decifratura escrow dovr? consentire il recupero della chiave di sessione ad una sola LEA, mentre nel secondo caso essa dovr? consentire il recupero della chiave di sessione ad una o entrambe le LEA. In altre parole, in quest?ultimo caso l?intercettazione legale pu? essere attivata localmente per (i dati uscenti di) il dispositivo endpoint trasmittente, per (i dati entranti di) il dispositivo endpoint ricevente, o per entrambi, a seconda delle corrispondenti autorizzazioni in tempo reale verificate dai rispettivi MNO. Di conseguenza, la tecnica di decifratura escrow deve essere adattata in modo da permettere il recupero separato della chiave di sessione da parte di due LEA. Secondo la presente invenzione, la cifratura escrow viene eseguita dal dispositivo endpoint trasmittente in tutti i casi sopra citati, e l?intercettazione legale opera sui dati entranti e uscenti del dispositivo endpoint coinvolto (vale a dire l?uno o pi? dispositivi endpoint sottoposti ad intercettazione legale). Ci? ? garantito dagli MNO responsabili dell?instaurazione della connessione tra i due dispositivi endpoint interessati.

Tipicamente, le varie LEA sono assistite nel recupero della chiave di sessione da diversi DEA a seconda della rispettiva nazione. Secondo la presente invenzione, le informazioni relative alle LEA responsabili sono trasmesse ai due dispositivi endpoint coinvolti dai corrispondenti MNO. Se uno o entrambi i dispositivi endpoint attraversano un confine nel corso di una stessa sessione, una o entrambe le LEA responsabili dell'intercettazione legale cambieranno. In un simile caso, durante il processo di handover il corrispondente dispositivo endpoint dovr? eseguire una nuova cifratura escrow della stessa chiave di sessione, utilizzando una nuova chiave pubblica di cifratura escrow, per la nuova LEA assistita da nuovi DEA. In questo modo, nuove LEA e nuovi DEA saranno in grado di eseguire il recupero della stessa chiave di sessione, se autorizzati a farlo.

La soluzione secondo la presente invenzione pu? essere implementata nell?architettura di reti mobili di nuova generazione come servizio per cifratura E2E di dati user plane. Ad esempio, detto servizio pu? essere applicato a chiamate telefoniche, messaggi SMS (Short Message Service) e messaggi MMS (Multimedia Messaging Service). Esso pu? anche essere applicato a qualsiasi traffico di dati user plane tramite accesso a rete mobile (ad es. servizio di messaggistica istantanea su rete mobile). Pi? in generale, esso pu? essere anche adattato per traffico dati tramite accesso diretto a Internet per dispositivi endpoint mobili o fissi (ad es. tramite WiFi).

In linea di principio, l?invenzione pu? anche essere applicata ad altri tipi di dati, come dati Internet o dati applicativi.

Un aspetto della presente invenzione riguarda un metodo per la decifratura di messaggi cifrati end-to-end.

Preferibilmente, detti messaggi sono cifrati mediante cifratura di dati user plane.

Preferibilmente, il metodo comprende predisporre almeno un primo sistema informatico principale.

Preferibilmente, il metodo comprende predisporre uno o pi? primi sistemi informatici ausiliari.

Preferibilmente, il metodo comprende generare e memorizzare, presso il primo sistema informatico principale e ogni primo sistema informatico ausiliario, un rispettivo numero casuale x0?, x1??xn?.

Preferibilmente, ognuno di detti rispettivi numeri casuali ? una quota di uno schema di condivisione segreta lineare.

Preferibilmente, il segreto ? x?.

Preferibilmente, detto segreto x? pu? essere ottenuto da x0? e un sottoinsieme arbitrario di k? di n detti rispettivi numeri casuali, in cui k? ? maggiore o uguale a 2 e minore o uguale a n.

Preferibilmente, il segreto x? non viene calcolato.

Preferibilmente, il metodo comprende generare e memorizzare, presso il primo sistema informatico principale e ognuno di detti primi sistemi informatici ausiliari, una rispettiva quota di una prima chiave pubblica di cifratura escrow, in base al rispettivo numero casuale.

Preferibilmente, il metodo comprende inviare, da ogni primo sistema informatico ausiliario al primo sistema informatico principale, la rispettiva quota della prima chiave pubblica di cifratura escrow.

Preferibilmente, il metodo comprende calcolare, presso il primo sistema informatico principale, una prima chiave pubblica di cifratura escrow combinando la quota della prima chiave pubblica di cifratura escrow del primo sistema informatico principale con le quote della prima chiave pubblica di cifratura escrow dei primi sistemi informatici ausiliari.

Preferibilmente, x? ? una prima chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta prima chiave pubblica di cifratura escrow.

Preferibilmente, il metodo comprende determinare, da parte di una rete di telecomunicazioni, che un primo dispositivo di utente sta per inviare dati user plane ad un secondo dispositivo di utente.

Preferibilmente, il metodo comprende determinare, mediante cooperazione tra il primo sistema informatico principale e detta rete di telecomunicazioni, se detto primo dispositivo di utente e/o detto secondo dispositivo di utente sono un bersaglio di intercettazione legale associata al primo sistema informatico principale.

Preferibilmente, il metodo comprende, quando devono essere inviati dati user plane da detto primo dispositivo di utente a detto secondo dispositivo di utente e detto primo dispositivo di utente e/o detto secondo dispositivo di utente sono un bersaglio di intercettazione legale, configurare detto primo dispositivo di utente per generare un messaggio cifrato end-to-end.

Preferibilmente, il messaggio cifrato end-to-end ? ottenuto cifrando, con una chiave di sessione, un messaggio in chiaro formato da detti dati user plane.

Preferibilmente, detto messaggio cifrato end-to-end ? destinato a detto secondo dispositivo di utente, per essere decifrato utilizzando la chiave di sessione.

Preferibilmente, il metodo comprende, quando devono essere inviati dati user plane da detto primo dispositivo di utente a detto secondo dispositivo di utente, e detto primo dispositivo di utente e/o detto secondo dispositivo di utente sono un bersaglio di intercettazione legale, configurare detto primo dispositivo di utente per generare un allegato.

Preferibilmente, l?allegato deve essere associato a detto messaggio cifrato end-to-end.

Preferibilmente, detto allegato include almeno una chiave cifrata di escrow, ottenuta cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow.

Preferibilmente, una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto a detta prima chiave privata di decifratura escrow x?.

Preferibilmente, il metodo comprende ricevere dal primo dispositivo di utente, presso il primo sistema informatico principale attraverso detta rete di comunicazioni, detto messaggio cifrato end-to-end e detto allegato.

Preferibilmente, il metodo comprende inoltrare, tramite detta rete di comunicazioni, detto messaggio cifrato end-to-end a detto secondo dispositivo di utente, senza detto allegato.

Preferibilmente, il metodo comprende inviare, dal primo sistema informatico principale ad ogni primo sistema informatico ausiliario, una richiesta di decifratura escrow parziale.

Preferibilmente, il metodo comprende ricevere presso il primo sistema informatico principale, da ogni primo sistema informatico ausiliario, una risposta di decifratura escrow parziale calcolata in base al rispettivo numero casuale, e calcolare un risultato di decifratura escrow parziale di detto primo sistema informatico principale in base al numero casuale x0?.

Preferibilmente, il metodo comprende decifrare detta chiave cifrata di escrow presso il primo sistema informatico principale utilizzando le risposte di decifratura escrow parziale provenienti da un sottoinsieme di k? di n primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto primo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, il metodo comprende decifrare detto messaggio cifrato end-to-end utilizzando detta chiave di sessione, ottenendo in tal modo detto messaggio in chiaro presso il primo sistema informatico principale.

Preferibilmente, il metodo comprende predisporre un secondo sistema informatico principale e uno o pi? secondi sistemi informatici ausiliari associati a detto secondo sistema informatico principale.

Preferibilmente, il metodo comprende generare e memorizzare, presso il secondo sistema informatico principale e ogni secondo sistema informatico ausiliario, un rispettivo numero casuale x0??, x1???xm??.

Preferibilmente, ognuno di detti rispettivi numeri casuali ? una quota in uno schema di condivisione segreta lineare.

Preferibilmente, il segreto ? x??.

Preferibilmente, detto segreto x?? pu? essere ottenuto da x0?? e un sottoinsieme arbitrario di k?? di m detti rispettivi numeri casuali, in cui k?? ? maggiore o uguale a 2 e minore o uguale a m.

Preferibilmente, il segreto x?? non viene calcolato.

Preferibilmente, il metodo comprende generare e memorizzare, presso il secondo sistema informatico principale e ognuno di detti secondi sistemi informatici ausiliari, una rispettiva quota di una seconda chiave pubblica di cifratura escrow, in base al rispettivo numero casuale.

Preferibilmente, il metodo comprende inviare, da ogni secondo sistema informatico ausiliario al secondo sistema informatico principale, la rispettiva quota della seconda chiave pubblica di cifratura escrow.

Preferibilmente, il metodo comprende calcolare, presso il secondo sistema informatico principale, una seconda chiave pubblica di cifratura escrow combinando la quota della seconda chiave pubblica di cifratura escrow del secondo sistema informatico principale con le quote della seconda chiave pubblica di cifratura escrow dei secondi sistemi informatici ausiliari.

Preferibilmente, x?? ? una seconda chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta seconda chiave pubblica di cifratura escrow.

Preferibilmente, l?intercettazione legale di detto primo dispositivo di utente ? associata a detto primo sistema informatico principale e l?intercettazione legale di detto secondo dispositivo di utente ? associata a detto secondo sistema informatico principale.

Preferibilmente, mediante la cooperazione tra il secondo sistema informatico principale e detta rete di telecomunicazioni, si determina se detto secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente non ? un bersaglio di intercettazione legale, detto primo dispositivo di utente ? configurato per generare la chiave cifrata di escrow cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x?.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente non ? un bersaglio di intercettazione legale, detta chiave cifrata di escrow ? decifrata presso il primo sistema informatico principale utilizzando risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale del sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente non ? un bersaglio di intercettazione legale, detto messaggio cifrato end-to-end ? decifrato presso il primo sistema informatico principale utilizzando detta chiave di sessione, ottenendo in tal modo detto messaggio in chiaro.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, detto primo dispositivo di utente ? configurato per generare la chiave cifrata di escrow cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e detta seconda chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x??.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, una richiesta di decifratura escrow parziale viene inviata da detto secondo sistema informatico principale ad ogni secondo sistema informatico ausiliario.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, da ogni secondo sistema informatico ausiliario viene inviata una risposta di decifratura escrow parziale al secondo sistema informatico principale, detta risposta di decifratura escrow essendo calcolata in base al rispettivo numero casuale xi??, e un risultato di decifratura escrow parziale di detto secondo sistema informatico principale viene calcolato in base al numero casuale x0??.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, detta chiave cifrata di escrow ? decifrata presso il secondo sistema informatico principale utilizzando risposte di decifratura escrow parziale provenienti da un sottoinsieme di k?? di m secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, detto messaggio cifrato end-to-end ? decifrato presso il secondo sistema informatico principale utilizzando detta chiave di sessione, ottenendo in tal modo detto messaggio in chiaro.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale, detto primo dispositivo di utente ? configurato per generare la chiave cifrata di escrow cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e dette prima e seconda chiavi pubbliche di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x? ed ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x??.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale, detta chiave cifrata di escrow ? decifrata presso il primo sistema informatico principale utilizzando le corrispondenti risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto primo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale, detta chiave cifrata di escrow ? decifrata presso il secondo sistema informatico principale utilizzando le corrispondenti risposte di decifratura escrow parziale provenienti dai secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale, detto messaggio cifrato end-to-end ? decifrato presso il primo sistema informatico principale e presso il secondo sistema informatico principale utilizzando detta chiave di sessione, ottenendo in tal modo detto messaggio in chiaro.

Preferibilmente, detta chiave di sessione ? una chiave simmetrica stabilita in comune da detti primo e secondo dispositivi di utente applicando un protocollo crittografico per stabilire una chiave autenticata.

Preferibilmente, detto protocollo crittografico ? un protocollo di scambio di chiavi Diffie-Hellman, DH, effimere basato su coppie di chiavi privata/pubblica DH a lungo termine generate localmente e memorizzate in modo sicuro in ognuno di detti primo e secondo dispositivi di utente.

Preferibilmente, detto protocollo crittografico comprende la generazione di una coppia di chiavi privata/pubblica DH effimere casuali del primo dispositivo di utente.

Preferibilmente, detto protocollo crittografico comprende il calcolo di una chiave comune DH effimera da detta coppia di chiavi privata/pubblica DH effimere e detta coppia di chiavi privata/pubblica DH a lungo termine di detto secondo dispositivo di utente.

Preferibilmente, detto protocollo crittografico comprende l?applicazione di una funzione di derivazione della chiave a detta chiave comune DH effimera per ottenere detta chiave di sessione, da utilizzarsi per la cifratura a chiave simmetrica di dati user plane nella sessione.

Preferibilmente, l?allegato include anche una parte di informazione. Preferibilmente, detta parte di informazione include una prima indicazione che identifica detto primo e/o secondo dispositivo di utente quale bersaglio di intercettazione legale.

Preferibilmente, detta parte di informazione include una seconda indicazione che identifica detto primo e/o secondo sistema informatico principale.

Preferibilmente, detta parte di informazione include una marca temporale.

Preferibilmente, detta cifratura escrow della chiave di sessione ? ricavata adattando un protocollo di scambio di chiavi DH effimere.

Preferibilmente, la cifratura escrow della chiave di sessione comprende la generazione di una coppia di chiavi privata/pubblica DH effimere casuali di detto primo dispositivo di utente.

Preferibilmente, la cifratura escrow della chiave di sessione comprende il calcolo di una chiave comune DH effimera da detta chiave privata DH effimera di detto primo dispositivo di utente e dalla prima chiave pubblica DH di escrow PK di detto primo sistema informatico principale secondo un protocollo standard di scambio di chiavi DH.

Preferibilmente, la cifratura escrow della chiave di sessione comprende generare la parte di informazione della chiave di sessione cifrata di escrow concatenando identit? di detti primo e/o secondo dispositivi di utente quali bersagli di intercettazione legale, l?identit? di detto primo sistema informatico principale, e detta marca temporale.

Preferibilmente, la cifratura escrow della chiave di sessione comprende applicare una funzione di derivazione della chiave alla concatenazione di detta chiave comune DH effimera e detta parte di informazione, e quindi combinare il risultato in modo reversibile con la chiave di sessione per ottenere la parte di cifratura di detta chiave di sessione cifrata di escrow.

Preferibilmente, la cifratura escrow della chiave di sessione comprende assemblare detta chiave di sessione cifrata di escrow concatenando detta chiave pubblica DH effimera, detta parte di informazione e detta parte di cifratura.

Preferibilmente, detta decifratura escrow condivisa di detta chiave di sessione cifrata di escrow ? basata sulla propriet? omomorfica della funzione esponenziale nel sottostante gruppo ciclico DH con notazione moltiplicativa, rispetto all?addizione (modulare) di esponenti.

Preferibilmente, ognuno di detti primo e secondo sistemi informatici principali ? associato ad una rispettiva chiave pubblica DH di escrow PKo PK<II>, ciascuna rispettivamente corrispondente a detto primo o secondo dispositivo di utente.

Preferibilmente, detta cifratura escrow della chiave di sessione ? ricavata adattando un protocollo di scambio di chiavi DH effimere tripartito.

Preferibilmente, la cifratura escrow della chiave di sessione comprende il calcolo di una chiave comune DH effimera tripartita da detta chiave privata DH effimera di detto primo dispositivo di utente e dette chiavi pubbliche DH di escrow PKe PK<II >rispettivamente di detto primo e secondo sistema informatico principale, secondo un protocollo di scambio di chiavi DH tripartito utilizzante una mappatura bilineare su sottostanti gruppi ciclici DH.

Preferibilmente, la cifratura escrow della chiave di sessione comprende generare la parte di informazione della chiave di sessione cifrata di escrow concatenando identit? di detti primo e secondo dispositivi di utente quali bersagli di intercettazione legale, identit? di detti primo e secondo sistemi informatici principali, e detta marca temporale.

Preferibilmente, la cifratura escrow della chiave di sessione comprende applicare una funzione di derivazione della chiave alla concatenazione di detta chiave comune DH effimera tripartita e detta parte di informazione, e quindi combinare il risultato in modo reversibile con la chiave di sessione per ottenere la parte di cifratura di detta chiave di sessione cifrata di escrow.

Preferibilmente, detta decifratura escrow condivisa di detta chiave di sessione cifrata di escrow ? basata sulla propriet? omomorfica della funzione esponenziale risultante da detta mappatura bilineare nel sottostante gruppo ciclico DH con notazione moltiplicativa, rispetto all?addizione (modulare) di esponenti.

Preferibilmente, detto primo e/o secondo sistema informatico principale invia, prima che detto primo dispositivo di utente sia configurato per generare detto allegato, una richiesta di autorizzazione ad un rispettivo sistema informatico accreditato.

Preferibilmente, detto primo e/o secondo sistema informatico principale riceve, prima che detto primo dispositivo di utente sia configurato per generare detto allegato, una risposta di autorizzazione da detto rispettivo sistema informatico accreditato, sotto forma di un appropriato certificato di autorizzazione all?intercettazione legale.

Preferibilmente, detto primo e/o secondo sistema informatico principale corrisponde alla rispettiva posizione corrente di detto primo e/o secondo dispositivo di utente in una rete mobile di comunicazioni.

Preferibilmente, se detta posizione cambia durante una stessa sessione, durante il processo di handover detto primo e/o secondo sistema informatico principale e la rispettiva chiave pubblica di cifratura escrow vengono sostituiti e la cifratura escrow della chiave di sessione presso il primo dispositivo di utente viene aggiornata in base alla variata prima e/o seconda chiave pubblica di cifratura escrow.

Preferibilmente, detto schema di condivisione segreta lineare ? tale che detto primo e/o secondo sistema informatico principale non possa ottenere alcuna informazione in merito alla chiave di sessione senza rispettivamente detti primi e/o secondi sistemi informatici ausiliari, e che detti primi e/o secondi sistemi informatici ausiliari non possano, rispettivamente, ottenere autonomamente alcuna informazione sulla chiave di sessione.

Un aspetto della presente invenzione riguarda un sistema per la decifratura di messaggi cifrati end-to-end.

Preferibilmente, detto sistema comprende almeno un primo sistema informatico principale.

Preferibilmente, detto sistema comprende uno o pi? primi sistemi informatici ausiliari.

Preferibilmente, il primo sistema informatico principale e ogni primo sistema informatico ausiliario sono configurati per generare e memorizzare un rispettivo numero casuale x0?, x1??xn?.

Preferibilmente, il segreto ? x?.

Preferibilmente, il segreto x? non viene calcolato.

Preferibilmente, il primo sistema informatico principale e ognuno di detti primi sistemi informatici ausiliari sono configurati per generare e memorizzare una rispettiva quota di una prima chiave pubblica di cifratura escrow, in base al rispettivo numero casuale.

Preferibilmente, ogni primo sistema informatico ausiliario ? configurato per inviare al primo sistema informatico principale la rispettiva quota della prima chiave pubblica di cifratura escrow.

Preferibilmente, il primo sistema informatico principale ? configurato per calcolare una prima chiave pubblica di cifratura escrow combinando la quota della prima chiave pubblica di cifratura escrow del primo sistema informatico principale con le quote della prima chiave pubblica di cifratura escrow dei primi sistemi informatici ausiliari, in cui x? ? una prima chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta prima chiave pubblica di cifratura escrow.

Preferibilmente, una rete di telecomunicazioni ? configurata per determinare che un primo dispositivo di utente sta per inviare dati user plane ad un secondo dispositivo di utente.

Preferibilmente, il primo sistema informatico principale e detta rete di telecomunicazioni cooperano per determinare se detto primo dispositivo di utente e/o detto secondo dispositivo di utente sono un bersaglio di intercettazione legale associata al primo sistema informatico principale.

Preferibilmente, quando devono essere inviati dati user plane da detto primo dispositivo di utente a detto secondo dispositivo di utente e detto primo dispositivo di utente e/o detto secondo dispositivo di utente sono un bersaglio di intercettazione legale, detto primo dispositivo di utente ? configurato per generare un messaggio cifrato end-to-end ottenuto cifrando, con una chiave di sessione, un messaggio in chiaro formato da detti dati user plane, in cui detto messaggio cifrato end-to-end ? destinato a detto secondo dispositivo di utente, per essere decifrato utilizzando la chiave di sessione.

Preferibilmente, quando devono essere inviati dati user plane da detto primo dispositivo di utente a detto secondo dispositivo di utente e detto primo dispositivo di utente e/o detto secondo dispositivo di utente sono un bersaglio di intercettazione legale, detto primo dispositivo di utente ? configurato per generare un allegato da associare a detto messaggio cifrato end-to-end, in cui detto allegato include almeno una chiave cifrata di escrow, ottenuta cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto a detta prima chiave privata di decifratura escrow x?.

Preferibilmente, il primo sistema informatico principale riceve dal primo dispositivo di utente, attraverso detta rete di comunicazioni, detto messaggio cifrato end-to-end e detto allegato.

Preferibilmente, detto messaggio cifrato end-to-end viene inoltrato a detto secondo dispositivo di utente, senza detto allegato.

Preferibilmente, il primo sistema informatico principale invia ad ogni primo sistema informatico ausiliario una richiesta di decifratura escrow parziale.

Preferibilmente, il primo sistema informatico principale riceve da ogni primo sistema informatico ausiliario una risposta di decifratura escrow parziale, calcolata in base al rispettivo numero casuale xi?, e calcola un risultato di decifratura escrow parziale di detto primo sistema informatico principale in base al numero casuale x0?.

Preferibilmente, il primo sistema informatico principale decifra detta chiave cifrata di escrow utilizzando le risposte di decifratura escrow parziale provenienti da un sottoinsieme di k? di n primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto primo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, il primo sistema informatico principale decifra detto messaggio cifrato end-to-end utilizzando detta chiave di sessione, ottenendo in tal modo detto messaggio in chiaro.

Preferibilmente, detto sistema comprende un secondo sistema informatico principale.

Preferibilmente, detto sistema comprende uno o pi? secondi sistemi informatici ausiliari associati a detto secondo sistema informatico principale.

Preferibilmente, il secondo sistema informatico principale e ogni secondo sistema informatico ausiliario sono configurati per generare e memorizzare un rispettivo numero casuale x0??, x1???xm??, in cui ognuno di detti rispettivi numeri casuali ? una quota in uno schema di condivisione segreta lineare.

Preferibilmente, il segreto ? x??.

Preferibilmente, il segreto x?? non viene calcolato.

Preferibilmente, il secondo sistema informatico principale e ognuno di detti secondi sistemi informatici ausiliari sono configurati per generare e memorizzare una rispettiva quota di una seconda chiave pubblica di cifratura escrow, in base al rispettivo numero casuale.

Preferibilmente, ogni secondo sistema informatico ausiliario ? configurato per inviare al secondo sistema informatico principale la rispettiva quota della seconda chiave pubblica di cifratura escrow.

Preferibilmente, il secondo sistema informatico principale ? configurato per calcolare una seconda chiave pubblica di cifratura escrow combinando la quota della seconda chiave pubblica di cifratura escrow del secondo sistema informatico principale con le quote della seconda chiave pubblica di cifratura escrow dei secondi sistemi informatici ausiliari, in cui x?? ? una seconda chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta seconda chiave pubblica di cifratura escrow.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente non ? un bersaglio di intercettazione legale, la chiave cifrata di escrow ? ottenuta cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x?.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente non ? un bersaglio di intercettazione legale, detta chiave cifrata di escrow ? decifrata presso il primo sistema informatico principale utilizzando risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale del primo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, la chiave cifrata di escrow ? ottenuta cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e detta seconda chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x??.

Preferibilmente, se il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale e il primo dispositivo di utente non ? un bersaglio di intercettazione legale, detta chiave cifrata di escrow ? decifrata presso il secondo sistema informatico principale utilizzando le risposte di decifratura escrow provenienti da un sottoinsieme di k?? di m secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale, ottenendo in tal modo la chiave di sessione in modalit? condivisa.

Preferibilmente, se il primo dispositivo di utente ? un bersaglio di intercettazione legale associata al primo sistema informatico principale e il secondo dispositivo di utente ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale, la chiave cifrata di escrow ? ottenuta cifrando detta chiave di sessione utilizzando una funzione di cifratura escrow e dette prima e seconda chiavi pubbliche di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x? ed ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x??.

Preferibilmente, detta rete di comunicazioni ? una rete mobile di comunicazioni in grado di soddisfare detti requisiti funzionali addizionali, in cui detto primo dispositivo di utente e detto secondo dispositivo di utente sono implementati sotto forma di dispositivi mobili di comunicazione.

Breve descrizione dei disegni

Queste e altre caratteristiche e vantaggi della presente invenzione appariranno evidenti alla luce della descrizione dettagliata che segue di alcune forme di realizzazione esemplificative e non limitative della stessa. Nella seguente descrizione si far? riferimento ai disegni allegati, in cui: la Figura 1 ? uno schema a blocchi di una prima forma di realizzazione della presente invenzione;

la Figura 2 ? uno schema a blocchi di una seconda forma di realizzazione della presente invenzione;

la Figura 3 ? uno schema che mostra la comunicazione tra due elementi appartenenti ad entrambe le Figure 1 e 2;

la Figura 4 ? uno schema che mostra scambi di informazioni previsti dalla forma di realizzazione di Figura 1;

le Figure 5a-5b mostrano uno schema che illustra scambi di informazioni previsti dalla forma di realizzazione di Figura 2.

Descrizione di alcune forme di realizzazione preferite dell?invenzione

La soluzione secondo la presente invenzione include un sistema e un metodo per la decifratura di messaggi cifrati per intercettazione legale. In particolare, la soluzione secondo la presente invenzione include un sistema e un metodo per il recupero delle chiavi di sessione per cifratura end-to-end (E2E) di dati user plane in reti mobili di comunicazione, in cui si prevede una cooperazione fra almeno due entit? indipendenti, preferibilmente tre, vale a dire una LEA e almeno due DEA. Detti sistema e metodo sono atti ad adeguarsi alla mobilit? di dispositivi endpoint in scenari di roaming.

La Richiedente osserva che, secondo una forma di realizzazione preferita della presente invenzione, i dati user plane sono cifrati al livello di rete, ossia al livello 3 dello stack di protocolli del modello OSI. Tuttavia, il metodo secondo la presente invenzione pu? anche essere utilizzato per la cifratura di dati user plane a livelli OSI pi? elevati (ad es. il livello di trasporto o applicativo).

La presente invenzione propone di separare la generazione delle chiavi di sessione per cifratura E2E dal recupero delle chiavi di sessione. Di conseguenza, la soluzione proposta include anche un relativo sistema e un relativo metodo per stabilire chiavi di sessione autenticate in base a coppie di chiavi pubblica/privata a lungo termine associate ai dispositivi endpoint, in cui le chiavi pubbliche sono autenticate (ad es. certificate) dai corrispondenti MNO.

Il metodo di recupero delle chiavi di sessione secondo la presente invenzione ? basato su una cifratura escrow in chiave pubblica casualizzata della chiave di sessione, in cui la corrispondente funzione di decifratura escrow ? espressa in termini di una funzione che ? omomorfica rispetto ad una chiave privata di decifratura escrow, come si spiegher? pi? avanti. Ci? consente la decifratura escrow condivisa della chiave di sessione cifrata da parte della LEA e dei DEA, che eseguono individualmente funzioni di decifratura escrow parziale sulle proprie quote private di informazioni di decifratura escrow, senza recuperare la chiave privata di decifratura escrow. In particolare, i DEA inviano i rispettivi risultati di decifratura escrow parziale alla LEA, la quale li combina insieme con il proprio risultato di decifratura parziale per recuperare la chiave di sessione. Il metodo per il recupero delle chiavi di sessione secondo la presente invenzione ? essenzialmente un metodo di decifratura escrow in cui la chiave di sessione ? cifrata dal dispositivo endpoint che avvia una sessione (o che invia un messaggio in una sessione) utilizzando una cifratura escrow in chiave pubblica casualizzata.

Secondo la presente invenzione, in uno scenario di mobilit? in cui i due dispositivi endpoint coinvolti si trovano in nazioni differenti, la tecnica di cifratura escrow sopra descritta deve essere adattata per consentire recuperi separati delle chiavi di sessione da parte delle due LEA autorizzate ad eseguire l?intercettazione legale nei due diversi paesi in cui si trovano al momento i due dispositivi endpoint coinvolti. Se autorizzata, l?intercettazione legale viene attivata sia per i dati entranti sia per i dati uscenti dei dispositivi endpoint bersaglio (ossia l?uno o pi? dispositivi endpoint sottoposti ad intercettazione legale), mentre la cifratura escrow viene eseguita dal dispositivo endpoint trasmittente. Secondo la presente invenzione, l?attivazione dell?intercettazione legale ? implementata utilizzando appropriate chiavi pubbliche per cifratura escrow, vale a dire quelle delle LEA corrispondenti, le quali possono essere una o due, che richiedono l?intercettazione legale. Le informazioni relative alle chiavi pubbliche di cifratura escrow vengono scambiate tra gli MNO che servono i due dispositivi endpoint, a seconda di quale dei due dispositivi endpoint ? il bersaglio. Le chiavi pubbliche di cifratura escrow devono essere ritenute affidabili dagli MNO, direttamente o indirettamente tramite un certificato di chiave pubblica emesso da una terza parte fidata. Secondo una forma di realizzazione preferita della presente invenzione, la cifratura E2E e la cifratura escrow vengono eseguite a livello di rete o a livello di slice di rete, con l?autenticazione/identificazione dei dispositivi endpoint e l?intercettazione legale gestite dagli MNO responsabili dell?instaurazione della connessione tra i due dispositivi endpoint, come si descriver? meglio pi? avanti.

Il sistema di intercettazione legale che implementa il metodo secondo la presente invenzione include dispositivi endpoint, operatori di rete (MNO), forze dell?ordine (LEA) e agenti depositari di decifratura (DEA), nonch? entit? indipendenti fidate che emettono autorizzazioni per l?intercettazione legale, vale a dire autorit? di intercettazione legale (LIA, Lawful Interception Authorities), le quali sono preferibilmente esterne al sistema. In termini tecnici, il sistema di intercettazione legale secondo la presente invenzione include sistemi informatici implementati e controllati da MNO, LEA, DEA e LIA, rispettivamente. Pi? specificamente, una LIA pu? essere una singola autorit? centralizzata (ad es. un?autorit? giudiziaria) o un?autorit? distribuita, nel qual caso occorrer? un consenso generale da parte di pi? autorit? per l?emissione dell?autorizzazione. Inoltre queste autorit? costituenti possono anche controllare singoli DEA nel sistema di intercettazione legale. In generale, detto sistema preferibilmente distingue tra due tipi di MNO, ossia quelli che gestiscono un?infrastruttura di rete e quelli che gestiscono le sottoscrizioni dei dispositivi endpoint. I primi sono responsabili dell?intercettazione legale e sono indicati come MNOLI, mentre i secondi sono responsabili dell?attivazione della cifratura escrow e sono indicati come MNO<subs>. In pratica, un MNOLI ? anche un MNO<subs>, ma un MNO<subs >pu? non essere un MNOLI. Le LIA e le modalit? di emissione delle autorizzazioni (ad es. attraverso un ordine del tribunale) dipendono dalle normative locali e non saranno quindi considerate nella presente descrizione. Come di consueto, un MNO<subs >pu? avere il ruolo di MNO visitato, MNO<visit>, o di MNO domestico, MNO<home>, in cui MNO<visit >pu? coincidere con MNO<home>. La Richiedente osserva che, essenzialmente, MNO<visit >gestisce l?instaurazione di una connessione mobile in uno scenario di roaming, mentre MNO<home >verifica le sottoscrizioni dei dispositivi endpoint per l?accesso alla rete e fornisce credenziali (derivate) per una connessione sicura. MNO<visit >viene selezionata da un dispositivo endpoint in funzione degli accordi interoperatore del proprio MNO<home>. Una rete visitata ? anche chiamata rete servente.

Secondo la presente invenzione, nella descrizione che segue un dispositivo endpoint in grado di connettersi alla rete mobile di comunicazioni globale comprendente le infrastrutture di rete sia di un MNO<home >sia di un MNO<visit >? anche denominato dispositivo di utente (UE, User Equipment), il quale, per potersi connettere alla rete mobile di comunicazione globale ? tipicamente dotato di una scheda SIM (Subscriber Identity Module) comprendente le credenziali di sottoscrizione, vale a dire una chiave segreta pre-condivisa con MNO<home >e un identificativo globalmente univoco come IMSI (International Mobile Subscriber Identity) in 4G e SUPI (Subscription Permanent Identifier) in 5G. Componenti hardware sicuri e resistenti alla manomissione, come una SIM, implementano un legame identitario permanente con il dispositivo corrispondente. Un dispositivo endpoint senza una scheda SIM ? anche chiamato ME (Mobile Equipment, dispositivo mobile) ed ha un proprio identificativo, come IMEI (International Mobile Equipment Identity). Un altro identificativo globalmente univoco che pu? essere utilizzato ? il numero telefonico mobile, il quale ? associato al proprietario/utente del dispositivo endpoint. Tutti questi identificativi possono essere utilizzati nell?intercettazione legale per identificare un dispositivo endpoint bersaglio. Nell?ambito pi? generale delle reti IP, come identificativo globale possono anche essere utilizzati l?indirizzo IP o un numero telefonico fisso.

In forme di realizzazione esemplificative della presente invenzione, detto sistema di intercettazione legale corrisponde ad un dominio di intercettazione legale in cui si trovano entrambi i dispositivi endpoint (come schematizzato in Figura 1) oppure a due (diversi) domini di intercettazione legale in cui si trovano momentaneamente i due dispositivi endpoint (come schematizzato in Figura 2). Un dominio di intercettazione legale tipicamente corrisponde ad una nazione o un?unit? amministrativa all?interno di uno stato o una nazione. Queste due forme di realizzazione sono identificate rispettivamente come Scenario 1 e Scenario 2 nella presente descrizione. Lo Scenario 1 pu? essere considerato un caso particolare, in cui i due domini coincidono, di un pi? generale Scenario 2.

Scenario 1: Un dominio di intercettazione legale Di seguito si descriveranno, con riferimento alla Figura 1, l?architettura e le principali funzionalit? di un sistema di intercettazione legale nello Scenario 1.

Gli elementi del sistema mostrato in Figura 1 includono un primo dispositivo di utente/dispositivo endpoint trasmittente di identit? A (UEA), un secondo dispositivo di utente/dispositivo endpoint ricevente di identit? B (UEB), un MNO visitato di UEA (MNOA<visit>), un MNO visitato di UEB (MNOB<visit>), l?MNO domestico di UEA (MNOA<home>), l?MNO domestico di UEB (MNOB<home>), un MNO di intercettazione legale (MNOLI) di un dato dominio in cui i due dispositivi di utente/dispositivi endpoint si trovano attualmente, un sistema informatico principale (LEA), che rappresenta una forza dell?ordine in detto dominio, un sistema informatico accreditato (LIA), che rappresenta un?autorit? di intercettazione legale in detto dominio, ed n sistemi informatici ausiliari (DEA1, ?, DEAn), ciascuno dei quali rappresenta un rispettivo agente depositario di decifratura. In una forma di realizzazione preferita, n ? 2; preferibilmente, gli n DEA sono sotto il profilo amministrativo indipendenti l?uno dall?altro e dalla LEA. In termini tecnici, si ipotizza che il sistema di intercettazione legale nello Scenario 1 includa i sistemi informatici implementati e controllati rispettivamente dalle entit? MNO, LEA, DEA e LIA coinvolte. Questa ipotesi ? implicita in Figura 1.

Occorre notare che, nel contesto della presente invenzione, per ?sistema informatico? si intende un insieme di risorse hardware (almeno un processore e una memoria, pi? i necessari moduli/funzionalit? di connessione) che sono per s? note sotto il profilo hardware, ma che sono specificamente programmate (in termini di risorse software comprendenti sistema operativo e software applicativo) in modo da eseguire le operazioni qui descritte e rivendicate.

Nel dominio considerato, LEA invia una richiesta di autorizzazione all?intercettazione legale Req_Auth a LIA, detta richiesta di autorizzazione Req_Auth comprendendo una lista di identificativi di dispositivi endpoint ID e di intervalli temporali T per cui ? richiesta l?intercettazione legale; preferibilmente, ogni identificativo di dispositivo endpoint ID ? associato ad elementi di prova che giustificano la richiesta di intercettazione legale. LIA esamina detta richiesta di autorizzazione e invia a LEA una lista autorizzata firmata digitalmente Auth di identificativi di dispositivi endpoint ID e intervalli temporali T per cui viene autorizzata l?intercettazione legale nel dominio considerato. In una forma di realizzazione preferita, ogni entrata (LIA, LEA, ID, T) della lista ? firmata digitalmente da LIA come (LIA, LEA, ID, T)sign, indicato nella presente invenzione come certificato di autorizzazione. LEA verifica l?autenticit? di Auth e quindi aggiorna il proprio database locale di richieste di intercettazione legale autorizzate sotto forma di certificati di autorizzazione (LIA, LEA, ID, T)sign. A tempo debito, LEA genera poi una richiesta di intercettazione legale Req_LI e la invia a MNOLI. Req_LI comprende una lista di certificati di autorizzazione (LIA, LEA, ID, T)sign, eventualmente insieme con altre informazioni di interesse. Req_LI ? firmata digitalmente da LEA, e MNOLI, dopo aver verificato la firma, invia in risposta un ACK a LEA. MNOLI conserva anche un database di tutte le Req_LI ricevute e verificate.

MNOLI inoltra, mediante broadcasting o multicasting, ogni Req_LI ricevuta e verificata a tutti gli MNO<subs >nel dominio considerato, e ogni MNO<subs >invia in risposta un ACK a MNOLI dopo aver ricevuto la richiesta. Nei confronti di un dato dispositivo endpoint in un dato momento, ogni MNO<subs >di sottoscrizione pu? svolgere il ruolo di MNO domestico (MNO<home>) o di MNO visitato (MNO<visit>). Ogni MNO<subs >di sottoscrizione verifica l?autenticit? di ogni certificato di autorizzazione ricevuto (LIA, LEA, ID, T)sign (incluso nella Req_LI ricevuta) e conserva un database aggiornato DB_LI di tutti i (LIA, LEA, ID, T)sign ricevuti nel tempo e, in particolare, di quelli oggetto di una richiesta di intercettazione legale corrente/attiva.

Secondo la presente invenzione, un identificativo globalmente univoco ID di ogni dispositivo endpoint pu? corrispondente, ad esempio, all?IMSI in 4G o al SUPI in 5G.

Si deve notare che, nel processo durante il quale viene ottenuto l?accesso alla rispettiva rete mobile di comunicazioni tramite MNOA<visit >e MNOB<visit>, gli ID dei dispositivi di utente/dispositivi endpoint UEA e UEB vengono verificati rispetto ai database locali DB_LIA di MNOA<visit >e DB_LIB di MNOB<visit>, rispettivamente, allo scopo di determinare se essi sono bersagli di intercettazione legale nel dominio considerato. Successivamente possono essere eseguite alcune operazioni preparatorie, come notificare a MNOLI la presenza in tempo reale di dispositivi endpoint bersaglio. Si deve anche notare che, se l?ID del dispositivo di utente/dispositivo endpoint ? un SUPI, secondo la specifica tecnica 3GPP 5G (3GPP TS 33.501, Security Architecture and Procedures for 5G System, v15.5.0, Rel. 15, Jun. 2019), esso sar? nascosto mediante cifratura sulla scheda SIM. Ci? implica che per recuperare il SUPI occorrer? la cooperazione dell?MNO<home >corrispondente.

Secondo lo Scenario 1 mostrato in Figura 1, quando un primo dispositivo di utente UEA di identit? A avvia l?instaurazione di una sessione con un secondo dispositivo di utente UEB di identit? B, supponendo che UEA e UEB siano entrambi connessi alle rispettive reti mobili di comunicazioni, MNOA<visit >identifica MNOB<visit >(tramite MNOB<home>) come l?MNO visitato per UEB e, prima che UEA invii dati user plane nella sessione, MNOA<visit >ottiene da MNOB<visit >una richiesta di attivazione Act(B) indicante se il dispositivo endpoint di identit? B ? un bersaglio di intercettazione legale, la quale ? estratta dal database locale DB_LIB di MNOB<visit>. Successivamente MNOA<visit >invia a UEA una richiesta di attivazione comando Comm_LI = Act(A), Act(B), PK, TS, in cui Act(A) ? estratta dal database locale DB_LIA di MNOA<visit>, PK ? la chiave pubblica di escrow della LEA, e TS ? una marca temporale specificata da MNOA<visit>. Se n? il dispositivo endpoint di identit? A n? il dispositivo endpoint di identit? B sono bersagli di intercettazione legale, allora detta richiesta di comando inviata a UEA viene considerata nulla e la sessione E2E per i dati user plane pu? iniziare.

UEA e UEB dapprima seguono congiuntamente un protocollo crittografico per stabilire una chiave di sessione simmetrica autenticata K (una forma di realizzazione preferita del quale ? schematizzata in Figura 3), e quindi UEA invia a UEB dati user plane cifrati sotto forma di testo cifrato CT = Enc_K(PT) per un dato testo in chiaro PT; UEB decifra CT come Dec_K(CT) = PT. Nel contesto della presente invenzione, questo ? un processo di comunicazione di base tra UEA e UEB che ha luogo indipendentemente dal fatto che UEA e/o UEB siano o meno dispositivi endpoint bersaglio di intercettazione legale.

Se UEA e/o UEB sono un bersaglio di intercettazione legale (vale a dire, in termini di identit?, se A, B o entrambi sono bersagli), UEA invia in uscita, come allegato a CT, anche una chiave di sessione cifrata di escrow K? = Enc_PK(K). Secondo la presente invenzione, il presupposto di consentire la decifratura escrow condivisa di detta chiave di sessione cifrata di escrow senza rivelare le quote private delle informazioni di decifratura escrow possedute da ognuno degli n sistemi informatici ausiliari (DEA1, ?, DEAn) deriva dal fatto che la funzione di decifratura escrow pu? essere espressa in termini di una funzione che ? omomorfica rispetto ad una chiave privata di decifratura escrow, come si spiegher? pi? avanti. Nel seguito, i termini ?allegato? e ?chiave di sessione cifrata di escrow? saranno utilizzati in modo intercambiabile, ed entrambi saranno indicati con K?.

In parallelo, a condizione che UEA e/o UEB siano un bersaglio di intercettazione legale (ossia A, B o entrambi), MNOLI intercetta CT e K? utilizzando una sonda di intercettazione legale LI e li inoltra a LEA, mentre detta sonda LI rimuove K? dal messaggio inoltrato a UEB. Secondo la presente invenzione, K? = Enc_PK(K) include una parte di casualizzazione R, una parte di informazione e una parte di cifratura La parte di informazione ? specificata come ??? = TargetUE, TargetLEA, TS, in cui TargetUE = A?B (ossia A, B o entrambi) ? un insieme ordinato non vuoto di identit? di dispositivi endpoint bersaglio di intercettazione legale, TargetLEA = LEA denota un?identit? della LEA che richiede l?intercettazione legale, e TS ? una marca temporale inviata a UEA da MNOAvisit, come precedentemente descritto. La parte di casualizzazione ? ? necessaria per la decifratura escrow parziale, e la parte di informazione ? ? necessaria per verificare l?autorizzazione all?intercettazione legale. Per recuperare detta chiave di sessione K dalla parte di cifratura e dalla parte di casualizzazione ? di K? mediante decifratura escrow condivisa, LEA invia una richiesta di decifratura escrow parziale Req_Deci a DEAi (in cui i = 1,?,n). Preferibilmente, la richiesta di decifratura escrow parziale Req_Deci comprende un certificato di autorizzazione Auth = (LIA, LEA, ID, T)sign, firmato da LIA, per uno o due ID (elementi di TargetUE, ossia ID = A o ID = B), e una richiesta (LEA, DEAi, firmata da LEA, per ogni DEAi (i=1,?,n).

Ciascun DEAi verifica le firme in (LIA, LEA, ID, T)sign e (LEA, DEAi,

e verifica anche se ID appartiene a TargetUE e se TS ricavato da appartiene a T. Se queste verifiche hanno tutte esito positivo, DEAi calcola il risultato di decifratura escrow parziale richiesto utilizzando ? e la propria quota privata di informazioni di decifratura escrow, e invia di ritorno il risultato cos? ottenuto a LEA. In caso di esito negativo, DEAi invia in risposta a LEA un ACK negativo. Nel primo caso, LEA calcola il proprio risultato di decifratura escrow parziale utilizzando la propria quota privata di informazioni di decifratura escrow e quindi lo combina con i risultati di decifratura escrow parziale ricevuti dai DEA per recuperare detta chiave di sessione K dalla parte di cifratura ? di K?. La funzione di decifratura escrow viene cos? calcolata in modo distribuito e completamente privato senza mai utilizzare o ricostruire una chiave privata di decifratura escrow SK. Infine, LEA decifra CT in PT.

La parte di cifratura ? di K? ? necessaria solo per il recupero di K da parte di LEA, e quindi non viene preferibilmente inviata ai DEA. In una forma di realizzazione preferita, per garantire l?individuazione delle responsabilit? e minimizzare la fiducia necessaria in LEA, le parti di casualizzazione e di informazione di K? sono reciprocamente vincolate da una firma digitale del dispositivo endpoint trasmittente UEA, creata utilizzando la sua chiave privata a lungo termine, eventualmente la stessa utilizzata nel protocollo crittografico per stabilire la chiave di sessione descritto pi? avanti con riferimento alla Figura 3.

Scenario 2: Due domini di intercettazione legale

Di seguito si descriveranno, con riferimento alla Figura 2, l?architettura e le principali funzionalit? di un sistema di intercettazione legale nello Scenario 2.

La tecnologia sopra descritta in relazione allo Scenario 1 ? anche impiegata nella forma di realizzazione riguardante lo Scenario 2, la principale differenza essendo che in questo caso si avr? il coinvolgimento di due distinte forze dell'ordine (LEA) e due distinti MNOLI. Ogni forza dell?ordine ? rappresentata da un rispettivo sistema informatico (LEA, LEA<II>) nelle Figure 2 e 5a-5b. Ogni MNOLI ? rappresentato da un rispettivo sistema informatico (MNOLI, MNO<II>LI) in Figura 2.

Gli elementi del sistema mostrato in Figura 2 includono un primo dispositivo di utente/dispositivo endpoint trasmittente di identit? A (UEA), un secondo dispositivo di utente/dispositivo endpoint ricevente di identit? B (UEB), un MNO visitato di UEA (MNOA<visit>), un MNO visitato di UEB (MNOB<visit>), l?MNO domestico di UEA (MNOA<home>), l?MNO domestico di UEB (MNOB<home>), gli MNO di intercettazione legale dei domini I e II (MNOLI e MNO<II>LI), forze dell?ordine in detti domini I e II (LEAe LEA<II>), autorit? di intercettazione legale in detti domini I e II (LIAe LIA<II>), n agenti depositari di decifratura (DEA1, ?, DEAn) nel dominio I ed m agenti depositari di decifratura (DEA<II>1, ?, DEA<II>m) nel dominio II, rispettivamente. In una forma di realizzazione preferita, nel dominio I, n ? 2 e gli n DEA sono amministrativamente indipendenti l?uno dall?altro e da LEA; analogamente, nel dominio II, m ? 2 e gli m DEA sono amministrativamente indipendenti l?uno dall?altro e da LEA<II>. In termini tecnici, detto sistema di intercettazione legale include, nello Scenario 2, i sistemi informatici rispettivamente implementati e controllati dalle entit? MNO, LEA, DEA e LIA coinvolte. Questa ipotesi ? implicita in Figura 2.

Nella seguente descrizione dello Scenario 2 si utilizzeranno per semplicit? le notazioni generiche LEA, LIA, Auth e MNOLI per indicare rispettivamente LEAo LEA<II>, LIAo LIA<II>, Autho Auth<II >e MNOLI o MNO<II>LI. Analogamente, si utilizzer? la notazione generica DEAi per indicare DEAi o DEA<II>i rispettivamente nel dominio I con n agenti depositari di decifratura o nel dominio II con m agenti depositari di cifratura. Inoltre si utilizzeranno le notazioni generiche ID e T per indicare rispettivamente IDo ID<II >e To T<II>.

In detto dominio I o II, LEA invia una richiesta di autorizzazione all?intercettazione legale Req_Auth a LIA, detta richiesta comprendendo una lista di identificativi di dispositivi endpoint ID e intervalli di tempo T per cui ? richiesta l?intercettazione legale; preferibilmente, ogni identificativo di dispositivo endpoint ID ? associato ad elementi di prova che giustificano la richiesta di intercettazione legale. LIA esamina detta richiesta e invia a LEA una lista di autorizzazione firmata digitalmente Auth di identificativi di dispositivi endpoint ID e intervalli temporali T per cui l?intercettazione legale ? autorizzata in detto dominio I o II. In una forma di realizzazione preferita, ogni entrata (LIA, LEA, ID, T) in questa lista ? firmata digitalmente da LIA, costituendo un certificato di autorizzazione (LIA, LEA, ID, T)sign. LEA verifica l?autenticit? di Auth e quindi aggiorna il proprio database locale di richieste di intercettazione legale autorizzate sotto forma di certificati di autorizzazione (LIA, LEA, ID, T)sign. A tempo debito, LEA genera poi una richiesta di intercettazione legale Req_LI e la invia a MNOLI. Req_LI comprende una lista di certificati di autorizzazione (LIA, LEA, ID, T)sign, eventualmente insieme con altre informazioni di interesse. Req_LI ? firmata digitalmente da LEA, e MNOLI, dopo aver verificato la firma, invia in risposta un ACK a LEA. MNOLI conserva anche un database di tutte le Req_LI ricevute e verificate.

MNOLI inoltra, mediante broadcasting o multicasting, ogni Req_LI ricevuta e verificata a tutti gli MNO<subs >in detto dominio I o II, e ogni MNO<subs >invia in risposta un ACK a MNOLI dopo aver ricevuto la richiesta. Nei confronti di un dato dispositivo endpoint in un dato momento, ogni MNO<subs >di sottoscrizione pu? svolgere il ruolo di MNO domestico (MNO<home>) o di MNO visitato (MNO<visit>). Ogni MNO<subs >di sottoscrizione verifica l?autenticit? di ogni certificato di autorizzazione ricevuto (LIA, LEA, ID, T)sign. Ogni MNO<subs >di sottoscrizione conserva un database aggiornato DB_LI di tutti i (LIA, LEA, ID, T)sign ricevuti nel tempo e, in particolare, di quelli oggetto di una richiesta di intercettazione legale corrente/attiva. Secondo la presente invenzione, un identificativo globalmente univoco ID di ogni dispositivo endpoint pu? corrispondere all?IMSI in 4G o al SUPI in 5G.

Si deve notare che, nel processo durante il quale viene ottenuto l?accesso alla rispettiva rete mobile di comunicazioni tramite MNOA<visit >nel dominio I e MNOB<visit >nel dominio II, gli ID dei dispositivi di utente/dispositivi endpoint UEA e UEB vengono verificati rispetto ai database locali DB_LIA di MNOA<visit >e DB_LIB di MNOB<visit>, rispettivamente, allo scopo di determinare se essi sono dispositivi endpoint bersaglio di intercettazione legale in detto dominio I o II. Successivamente possono essere eseguite alcune operazioni preparatorie, come notificare a MNOLI la presenza in tempo reale di dispositivi endpoint bersaglio. Si deve anche notare che, se l?ID del dispositivo di utente/dispositivo endpoint corrisponde ad un SUPI, secondo la specifica tecnica 3GPP 5G (3GPP TS 33.501, Security Architecture and Procedures for 5G System, v15.5.0, Rel. 15, Jun. 2019), esso sar? nascosto mediante cifratura sulla scheda SIM. Ci? implica che per recuperare il SUPI occorrer? la cooperazione dell?MNO<home >corrispondente.

Secondo lo Scenario 2 mostrato in Figura 2, un primo dispositivo di utente UEA di identit? A avvia l?instaurazione di una sessione con un secondo dispositivo di utente UEB di identit? B, in cui UEA e UEB sono entrambi connessi alle rispettive reti mobili di comunicazioni. Quindi MNOA<visit >identifica MNOB<visit >(tramite MNOB<home>) come l?MNO visitato per UEB e, prima che UEA invii dati user plane nella sessione, MNOA<visit >ottiene da MNOB<visit >una richiesta di attivazione Act(B) indicante se il dispositivo endpoint di identit? B ? un bersaglio di intercettazione legale, la quale ? estratta dal database locale DB_LIB di MNOB<visit>, insieme con la chiave pubblica di escrow PK<II >di LEA<II >nel dominio II. Successivamente MNOA<visit >invia a UEA una richiesta di attivazione comando Comm_LI = Act(A), PK, Act(B), PK<II>, TS, in cui Act(A) ? estratta dal database locale DB_LIA di MNOA<visit>, PK? la chiave pubblica di escrow di LEAnel dominio I, e TS ? una marca temporale specificata da MNOA<visit>. Se n? il dispositivo endpoint di identit? A n? il dispositivo endpoint di identit? B sono bersagli di intercettazione legale, allora detta richiesta di comando inviata a UEA viene considerata nulla e la sessione E2E per i dati user plane pu? iniziare.

UEA e UEB dapprima seguono congiuntamente un protocollo crittografico per stabilire una chiave di sessione simmetrica autenticata K (una forma di realizzazione preferita del quale ? schematizzata in Figura 3, come si descriver? meglio nel seguito), e quindi UEA invia a UEB dati user plane cifrati sotto forma di testo cifrato CT = Enc_K(PT) per un dato testo in chiaro PT. UEB decifra CT come Dec_K(CT) = PT. Nel contesto della presente invenzione, questo ? un processo di comunicazione di base tra UEA e UEB che ha luogo indipendentemente dal fatto che UEA e/o UEB siano o meno dispositivi endpoint bersaglio di intercettazione legale.

Se UEA e/o UEB sono un bersaglio di intercettazione legale (vale a dire, in termini di identit?, se A, B o entrambi sono bersagli), UEA invia in uscita, come allegato a CT, anche una chiave di sessione cifrata di escrow K? = Enc_PK(K), in cui PK = PK?PK<II >? definita come PKse UEA ? un bersaglio, come PK<II >se UEB ? un bersaglio, e come (PK, PK<II>) se UEA e UEB sono entrambi bersagli. La cifratura escrow della chiave di sessione K dipende quindi dal fatto che UEA, UEB o entrambi siano bersagli di intercettazione legale. Secondo la presente invenzione, il presupposto di consentire la decifratura escrow condivisa di detta chiave di sessione cifrata di escrow K senza rivelare le quote private di informazioni di cifratura escrow possedute da ognuno degli n sistemi informatici ausiliari (DEA1, ?, DEAn) e/o degli m sistemi informatici ausiliari (DEA1, ?, DEAm) deriva dal fatto che la funzione di decifratura escrow pu? essere espressa in termini di una funzione che ? omomorfica rispetto ad una chiave privata di decifratura.

In parallelo, in detto dominio I o II, a condizione che UEA nel dominio I e/o UEB nel dominio II siano un bersaglio di intercettazione legale, MNOLI intercetta CT e K? utilizzando una sonda di intercettazione legale e li inoltra a LEA. La sonda di intercettazione legale LInel dominio I rimuove K? dal messaggio inoltrato a UEB se l?identit? B non ? un?identit? bersaglio di intercettazione legale nel dominio II. Se l?identit? B ? un?identit? bersaglio di intercettazione legale nel dominio II, allora la sonda di intercettazione legale LI<II >nel dominio II rimuove K? dal messaggio inoltrato a UEB. Secondo la presente invenzione, K? = Enc_PK(K), in cui PK = PK?PK<II >include una parte di casualizzazione

una parte di informazione e una parte di cifratura La parte di informazione ? specificata come TargetUE, TargetLEA, TS, in cui TargetUE = A?B ? un insieme ordinato non vuoto di identit? di dispositivi endpoint bersaglio di intercettazione legale, TargetLEA = LEAI?LEAII ? un insieme ordinato non vuoto di identit? di LEA che richiedono l?intercettazione legale, e TS ? una marca temporale inviata a UEA da MNOAvisit, come precedentemente descritto. La parte di casualizzazione ? ? necessaria per la decifratura escrow parziale, e la parte di informazione

? necessaria per verificare l?autorizzazione all?intercettazione legale.

Per recuperare detta chiave di sessione K dalla parte di cifratura di K? e dalla parte di casualizzazione mediante decifratura escrow condivisa, LEA invia una richiesta di decifratura escrow parziale Req_Deci a DEAi (in cui i=1,?,n nel dominio I e i=1,?,m nel dominio II) comprendente un certificato di autorizzazione Auth = (LIA, LEA, ID, T)sign, firmato da LIA, e una richiesta (LEA, DEAi firmata da LEA, per ogni DEAi (i=1,?,n nel dominio I e i=1,?,m nel dominio II).

Ciascun DEAi verifica le firme in (LIA, LEA, ID, T)sign e (LEA, DEAi, ?,????)sign e verifica se ID corrisponde all?identit? A ricavata da per il dominio I, se ID corrisponde all?identit? B ricavata da per il dominio II, e se TS ricavata da ? appartiene a T (Tnel dominio I e T<II >nel dominio II). Se queste verifiche hanno tutte esito positivo, DEAi calcola il risultato di decifratura escrow parziale richiesto utilizzando e la propria quota privata di informazioni di decifratura escrow, e invia di ritorno il risultato cos? ottenuto a LEA. In caso di esito negativo, DEAi invia in risposta a LEA un ACK negativo. Nel primo caso, LEA calcola il proprio risultato di decifratura escrow parziale utilizzando la propria quota privata di informazioni di decifratura escrow e quindi lo combina con i risultati di decifratura escrow parziale ricevuti dai DEA per recuperare detta chiave di sessione K dalla parte di cifratura ? di K?. La decifratura escrow di K? nel dominio I o II dipende quindi solamente dalla corrispondente chiave privata di decifratura escrow SKo SK<II>, rispettivamente, e quindi non ? necessaria alcuna cooperazione tra LEAe LEA<II >per recuperare K da K?. E? particolarmente importante il fatto che in entrambi i domini I e II la funzione di decifratura escrow ? calcolata in modo distribuito e completamente privato, senza mai utilizzare o ricostruire le chiavi private di decifratura escrow. Infine, nel dominio I o nel dominio II, LEA decifra CT in PT.

La parte di cifratura ? di K? ? necessaria solo per recuperare K, e quindi non viene preferibilmente inviata ai DEA. In una forma di realizzazione preferita, per garantire l?individuazione delle responsabilit? e minimizzare la fiducia necessaria in LEA, le parti di casualizzazione ? e di informazione ? di K? sono reciprocamente vincolate da una firma digitale del dispositivo endpoint trasmittente UEA, creata utilizzando la sua chiave privata a lungo termine, eventualmente la stessa utilizzata nel protocollo crittografico per stabilire la chiave di sessione descritto pi? avanti con riferimento alla Figura 3.

Protocollo crittografico per stabilire la chiave di sessione

Una forma di realizzazione preferita del protocollo per stabilire la chiave di sessione simmetrica per cifratura E2E ? rappresentata in Figura 3. Un protocollo crittografico preferito per stabilire una chiave di sessione autenticata ? il protocollo di scambio di chiavi Diffie-Hellman (DH) effimere basato su coppie di chiavi privata/pubblica a lungo termine generate in modo sicuro e memorizzate localmente nei dispositivi endpoint coinvolti nella comunicazione. Le chiavi pubbliche a lungo termine sono implicitamente autentiche se fornite dai corrispondenti MNO che forniscono accesso alle rispettive reti mobili di comunicazioni, in quanto gli MNO godono gi? di fiducia per quanto concerne l?autenticit? dei numeri telefonici mobili degli utenti delle loro reti. In aggiunta, detto protocollo crittografico preferito pu? ulteriormente utilizzare certificati di chiave pubblica standard emessi dagli MNO<home>, firmati digitalmente dopo le corrispondenti verifiche (ad es. X.509). Tali certificati di chiave pubblica legano le chiavi pubbliche a lungo termine degli utenti ai loro numeri telefonici mobili o eventualmente ad altri identificativi.

Prima di descrivere maggiormente nei dettagli la soluzione mostrata in Figura 3 verranno fornite alcune definizioni e spiegazioni preliminari, utili per una migliore comprensione della soluzione secondo la presente invenzione.

Si indichi con un gruppo finito ciclico di un ordine elevato ?, rispetto ad un?operazione di gruppo binaria che nella terminologia e notazione moltiplicativa ? chiamata moltiplicazione. Si indichi con ? un generatore di tale gruppo, ossia un elemento le cui potenze (intere) generano tutti gli elementi del gruppo, con 1 come elemento neutro. Ne consegue che tale gruppo ? commutativo. Di conseguenza, tutti gli elem o essere rappresentati come potenze in cui e tutti gli elementi non neutri di ? possono essere rappresentati come potenze in cui Nella terminologia e notazione additiva, un?operazione di gruppo ? chiamata addizione, con 0 come elemento neutro. In questo caso ogni elemento del gruppo pu? essere ottenuto come un multiplo intero di un generatore, chiamato multiplo scalare. I multipli scalari corrispondono quindi a potenze, e la moltiplicazione scalare corrisponde all?esponenziazione. Ogni gruppo ciclico di ordine ? quindi isomorfico a il gruppo additivo di interi mod che ? il gruppo ciclico di ordine ? rispetto all?addizione di interi mod e i suoi generatori sono interi coprimi a Se ? ha un ordine primo ?,? allora qualsiasi elemento di diverso da 1 ? un generatore, e tale gruppo ? chiamato gruppo primo. Per un primo ? un gruppo ciclico di ordine rispetto alla moltiplicazione di interi mod Esso ? chiamato gruppo moltiplicativo di interi mod

Occorre notare che la terminologia e la notazione additive sono utilizzate per un sottogruppo ciclico di un ordine primo elevato di un gruppo di curva ellittica su campo finito, in cui gli elementi del gruppo sono punti su una curva ellittica e l?operazione di gruppo binaria ? l?addizione di tali punti. Tale gruppo ? importante poich? l?addizione di punti di curva ellittica pu? essere efficacemente implementata su un dispositivo endpoint mobile funzionante a batteria, la cui potenza computazionale ? limitata.

Durante la fase di configurazione del protocollo crittografico per stabilire la chiave di sessione, illustrata in Figura 3, un dispositivo endpoint trasmittente UEA e un dispositivo endpoint ricevente UEB generano in modo sicuro e memorizzano localmente le rispettive coppie di chiavi privata/pubblica a lungo termine e

utilizzando lo stesso generatore di un gruppo ciclico ?

adottato/standardizzato (globalmente o localmente) di un ordine primo elevato Qui dette chiavi private sono scelte in modo casuale da (pi? in generale, l?ordine di ? non deve necessariamente essere primo). In una forma di realizzazione preferita, ? ? un sottogruppo primo di un gruppo di curva ellittica. Per autenticare le chiavi pubbliche a lungo termine degli utenti, gli MNO<home >possono emettere certificati di chiave pubblica che vincolano tali chiavi ai numeri telefonici mobili degli utenti. In sostituzione degli MNO<home >? possibile utilizzare qualsiasi altra terza parte fidata (autorit? di certificazione). Tali certificati di chiave pubblica possono essere scambiati e verificati in tempo reale prima di eseguire il protocollo crittografico illustrato in Figura 3. Le chiavi pubbliche verificate possono essere conservate nella memoria locale dei dispositivi endpoint per comunicazioni future. Con l?autenticazione delle chiavi pubbliche a lungo termine, il processo per stabilire la chiave di sessione produce una chiave di sessione autenticata invulnerabile ad attacchi di tipo man-in-themiddle, a condizione che le entit? che emettono i certificati di chiave pubblica siano fidate.

Nel protocollo preferito di scambio di chiavi Diffie-Hellman effimere su rappresentato in Figura 3, un dispositivo endpoint trasmittente UEA genera un (vero) numero casuale in cui quale chiave privata Diffie-Hellman effimera, e calcola e invia ad un dispositivo endpoint ricevente UEB la corrispondente chiave pubblica Diffie-Hellman effimera

I due dispositivi endpoint possono quindi calcolare la chiave comune

effimera secondo il normale protocollo di scambio di chiavi Diffie-Hellman. Pi? precisamente, UEA calcola e UEB calcola e poi, dato che ?in ragione della commutativit? della moltiplicazione di interi mod ?)?, entrambi calcolano la stessa chiave di sessione K applicando alla chiave comune la stessa funzione di derivazione della chiave (KDF), definita come una funzione di hash crittografico sicura, ad es. standardizzata. Per gruppi di curva ellittica, il protocollo ? comunemente definito come protocollo di scambio di chiavi Diffie-Hellman (effimere) di curva ellittica (ECDH).

Il ruolo principale della KDF consiste nell?adattare la dimensione in bit di K, che pu? essere pi? breve della dimensione in bit della chiave comune Diffie-Hellman. L?argomento della KDF pu? eventualmente includere alcune informazioni pubbliche addizionali come una marca temporale, per consentire la generazione sicura di pi? chiavi di sessione dallo stesso numero casuale Queste informazioni pubbliche ? possono essere trasmesse da UEA a UEB insieme con la chiave pubblica effimera

Un attaccante esterno, non conoscendo non potr? illegittimamente

calcolare una nuova chiave di sessione K da ? alterate, a condizione che KDF sia sicura. Una marca temporale protegge quindi da attacchi replay.

Protocollo crittografico per un dominio di intercettazione legale nello Scenario 1

Un protocollo crittografico preferito per il recupero condiviso di chiavi di sessione simmetriche per cifratura E2E nello Scenario 1 con un singolo dominio di intercettazione legale ? rappresentato in Figura 4. Questo protocollo ? basato sulla cifratura escrow casualizzata della chiave di sessione simmetrica mediante una chiave pubblica di escrow di detto dominio di intercettazione legale, in cui detta cifratura escrow ? derivata da uno scambio di chiavi Diffie-Hellman effimere. Una condizione necessaria affinch? detto recupero condiviso della chiave di sessione simmetrica abbia luogo ? che il dispositivo endpoint trasmittente o ricevente (vale a dire il dispositivo trasmittente, il dispositivo ricevente, o entrambi) sia un dispositivo endpoint bersaglio di intercettazione legale.

Dopo che UEA e UEB hanno stabilito una chiave di sessione comune K applicando un protocollo crittografico per stabilire una chiave di sessione simmetrica autenticata K (preferibilmente come schematizzato in Figura 3), UEA invia a UEB dati user plane cifrati sotto forma di testo cifrato CT = Enc_K(PT) per un dato testo in chiaro PT, e UEB quindi decifra CT come Dec_K(CT) = PT. Secondo la presente invenzione, il presupposto di consentire la decifratura escrow condivisa di detta chiave di sessione cifrata di escrow senza dover recuperare questa chiave deriva dal fatto che la funzione di decifratura escrow pu? essere espressa in termini di una funzione che ? omomorfica rispetto ad una chiave privata di decifratura escrow. Secondo il sistema per intercettazione legale nello Scenario 1 rappresentato in Figura 1, UEA calcola e invia in uscita, come allegato a CT, anche una chiave di sessione cifrata di escrow K? = Enc_PK(K), in cui PK ? la chiave pubblica di escrow di LEA. K? insieme con CT viene poi intercettata e inoltrata a LEA (come descritto nello Scenario 1 rappresentato in Figura 1), per essere sottoposta a decifratura escrow tramite cooperazione con i DEA, e viene quindi utilizzata per decifrare CT.

Prima di descrivere in dettaglio la soluzione mostrata in Figura 4 si forniranno alcune definizioni e spiegazioni addizionali. Si indichi con ? un gruppo ciclico di un ordine primo elevato si indichi come moltiplicazione un?operazione di gruppo, e si indichi con un generatore di questo gruppo. In particolare, ? e? possono (ma non devono necessariamente) essere gli stessi utilizzati nel protocollo per stabilire la chiave di sessione autenticata rappresentato in Figura 3. La chiave pubblica di cifratura escrow sar? quindi definita come in cui ? ? una chiave privata di decifratura escrow da Nel seguito si mostrer? come, nel protocollo crittografico secondo la presente invenzione, questa chiave ? non sia mai generata o ricostruita durante il processo di decifratura escrow condivisa di K?, grazie alla propriet? omomorfica della funzione esponenziale

rispetto a ? (vale a dire, Qui gli esponenti sono interi da

e l?addizione di esponenti ? l?addizione di interi mod La propriet?

omomorfica ? data dal fatto che il valore della funzione esponenziale della somma (segreta) di argomenti pu? essere ottenuto come prodotto dei valori (pubblici) della funzione esponenziale dei singoli argomenti (segreti) ??? e???, senza dover conoscere

La Richiedente osserva che questa propriet? omomorfica rimane valida per qualsiasi gruppo ciclico a prescindere dal fatto che si utilizzino la terminologia e la notazione additive o moltiplicative. Nella notazione additiva, le potenze di un generatore diventano multipli interi di un generatore, chiamati multipli scalari, e la moltiplicazione scalare sostituisce l?esponenziazione, in cui gli scalari sono interi da e la loro addizione ? mod In particolare, la terminologia e la notazione additive sono utilizzate per un sottogruppo ciclico di un ordine primo elevato di un gruppo di curva ellittica su un campo finito, in cui gli elementi del gruppo sono punti su una curva ellittica e l?operazione di gruppo binaria ? l?addizione di questi punti. Tale gruppo ? importante in quanto l?addizione di punti di curva ellittica pu? essere efficacemente implementata su un dispositivo endpoint mobile funzionante a batteria, la cui potenza computazionale ? limitata.

La chiave privata di decifratura escrow ? (efficacemente) suddivisa in n+1 quote secondo uno schema di condivisione segreta (lineare) selezionato. Pi? precisamente, in cui ? una quota casuale di LEA e ?<? >? una chiave segreta combinata condivisa tra n DEA secondo uno schema di condivisione segreta (lineare) selezionato. In una forma di realizzazione preferita, detto schema ? uno schema di soglia (k, n) su con n entit? e una soglia k, in modo che qualsiasi numero di entit? maggiore o uguale a k possa recuperare il segreto, mentre qualsiasi numero di entit? minore di k non sar? in grado di ottenere alcuna informazione in merito al segreto. Ancor pi? preferibilmente, detto schema di soglia (k, n) ? implementato mediante lo schema di condivisione segreta di Shamir, che ? basato sull?interpolazione polinomiale di Lagrange su un campo finito. In questo caso, detto campo finito ? con le operazioni di addizione e moltiplicazione di interi mod

? possibile utilizzare schemi di condivisione segreta diversi da quello di Shamir, a condizione che siano lineari, ossia a condizione che il segreto possa essere ottenuto attraverso una funzione lineare delle quote. Altri schemi di condivisione segreta potrebbero, ad esempio, consentire strutture di accesso pi? generali, con sottoinsiemi di partecipanti in grado di ricostruire il segreto.

Durante la fase di configurazione distribuita (non centralizzata) del protocollo crittografico preferito secondo la presente invenzione, le n+1 entit? coinvolte (n DEA e LEA) generano e memorizzano le loro quote di chiave privata di decifratura escrow in un modo completamente distribuito e rispettoso della privacy, senza coinvolgere un mazziere di fiducia. Nel caso pi? semplice, in cui k = n, ogni entit? genera la propria quota di chiave privata di decifratura escrow scegliendo in modo casuale un numero da quindi LEA genera e DEAi genera per ogni i=1,?,n.

Essi generano anche le corrispondenti quote di chiave pubblica di cifratura escrow (Diffie-Hellman) come rispettivamente. I DEA quindi inviano le loro rispettive quote di chiave pubblica di cifratura escrow a LEA, che ricostruisce la chiave pubblica di cifratura escrow, utilizzando la propriet? omomorfica della funzione esponenziale, come

La corrispondente chiave privata di decifratura

escrow, che non viene mai generata o ricostruita in detto protocollo, ? data da Nella rara eventualit? che ossia

1, il processo viene ripetuto finch? Questa chiave pubblica di cifratura escrow ? quindi considerata fidata ed ? resa nota agli MNO coinvolti. Lo schema risultante ? equivalente ad uno schema di soglia (n+1, n+1), in quanto nessun sottoinsieme di n o meno entit? riceve alcuna informazione in merito a poich? il loro contributo a ? perfettamente mascherato dalla somma delle rimanenti quote sconosciute. In particolare, ci? riguarda LEA o tutti i DEA combinati, e quindi soddisfa il principio di separazione degli accessi.

In un caso generale in cui k ? n, LEA genera in modo casuale la propria quota di chiave mentre n DEA generano in modo casuale la loro quota di chiave applicando un protocollo distribuito e rispettoso della privacy per condividere una chiave segreta tra n entit? secondo uno schema di soglia (k, n), senza coinvolgere un mazziere di fiducia. In un esempio di detto protocollo, per qualsiasi sottoinsieme di k DEA, ogni DEA di tale sottoinsieme sceglie in modo casuale una chiave segreta separata da calcola quote di questa chiave utilizzando lo schema di condivisione segreta di Shamir e quindi, in qualit? di mazziere di fiducia, distribuisce tali quote fra gli n DEA destinatari, compreso se stesso, su canali di comunicazione protetti. Successivamente ogni DEAi somma (mod tutte le k quote ricevute per ottenere la propria quota mentre la chiave segreta equivalente dello schema di soglia (k, n) ? data dalla somma di tutte le k chiavi segrete individualmente scelte da k DEA da detto sottoinsieme. Le corrispondenti quote di chiave pubblica di cifratura escrow (Diffie-Hellman) vengono quindi generate come

rispettivamente. La corrispondente chiave privata di decifratura escrow

che non viene mai generata o ricostruita in detto protocollo, pu? quindi essere ottenuta da qualsiasi sottoinsieme di k quote di chiave privata di decifratura escrow, corrispondenti ad un insieme di k indici ?, come

in cui i coefficienti risultanti dall?interpolazione

polinomiale di Lagrange dipendono da ? la chiave segreta equivalente dello schema di soglia (k, n) (che ? indipendente da ? e non viene mai generata o ricostruita in detto protocollo). I DEA successivamente inviano le loro quote di chiave pubblica di cifratura escrow a LEA, che ricostruisce la chiave pubblica di cifratura escrow da un tale sottoinsieme ?, sfruttando la propriet? omomorfica della funzione esponenziale, come Il processo viene ripetuto finch? Questa chiave pubblica di cifratura escrow viene quindi considerata fidata e resa nota agli MNO coinvolti. Lo schema risultante ? uno schema di condivisione segreta lineare in cui n? la LEA n? tutti i DEA combinati possono ottenere alcuna informazione in merito a ?.?

Nel protocollo preferito di scambio di chiavi Diffie-Hellman effimere su ?, rappresentato in Figura 4, un dispositivo endpoint trasmittente UEA genera una chiave di sessione cifrata di K? dalla chiave di sessione K come

che comprende una parte di casualizzazione una

parte di informazione e una parte di cifratura e la invia come allegato a testo cifrato CT per essere utilizzata da LEA e dai DEA per recuperare K e quindi decifrare CT in PT.

Pi? specificamente, UEA dapprima genera un (vero) numero casuale come chiave privata Diffie-Hellman effimera, e calcola la corrispondente chiave pubblica Diffie-Hellman effimera come parte di casualizzazione di K?, la quale ? necessaria per la decifratura escrow parziale. UEA quindi calcola come chiave comune nel protocollo di scambio di chiavi Diffie-Hellman e produce una parte di informazione di K? come A ? B, LEA, TS, in cui A?B (ossia A, B o entrambi) ? un insieme ordinato non vuoto TargetUE di identit? di dispositivi endpoint bersaglio di intercettazione legale, LEA ? un?identit? di LEA, e TS ? una marca temporale inviata a UEA da MNOA<visit>. Sia che sono quindi <utilizzati per calcolare una parte di cifratura di K? come >

in cui KDF ? una funzione di derivazione della chiave e

? un?operazione di gruppo di cifratura (pi? in generale, un?operazione di quasigruppo), come l?operazione XOR bit a bit di stringhe binarie. La parte di informazione ? utilizzata per verificare l?autorizzazione all?intercettazione legale dai DEA, come descritto per lo Scenario 1 con riferimento alla Figura 1 e come specificato pi? avanti.

Per recuperare detta chiave di sessione K dalla parte di cifratura

di K? mediante decifratura escrow condivisa, LEA invia una richiesta di decifratura escrow parziale Req_Deci a DEAi (in cui i=1,?,n) comprendente un certificato di autorizzazione Auth = (LIA, LEA, ID, T)sign, firmato da LIA, per uno o due ID (elementi di TargetUE, ossia ID = A o ID = B), e una richiesta (LEA, DEAi, firmata da LEA, per ogni DEAi (i=1,?,n).

Ciascun DEAi verifica le firme in (LIA, LEA, ID, T)sign e (LEA, DEAi,

e verifica anche se ID appartiene a TargetUE ricavato da ? e se

TS ricavata da ??? appartiene a T. Se le verifiche hanno tutte esito <positivo, DEAi calcola il risultato di decifratura escrow parziale richiesto >

utilizzando e la propria quota di chiave privata di

decifratura escrow e invia di ritorno il risultato cos? ottenuto a LEA. In caso contrario, DEAi invia in risposta a LEA un ACK negativo. Nel primo <caso, LEA calcola il proprio risultato di decifratura escrow parziale >

utilizzando la propria quota di chiave privata di decifratura escrow e

quindi la combina con i risultati di decifratura escrow parziale ricevuti dai DEA per recuperare detta chiave di sessione K dalla parte di cifratura ? di K? come in cui secondo la propriet? omomorfica della funzione esponenziale, o della funzione di moltiplicazione scalare in notazione additiva. In una forma di realizzazione preferita per applicazioni mobili, il sottostante gruppo ciclico ? ? implementato come un sottogruppo primo di un gruppo di curva ellittica su un campo finito, utilizzando la terminologia e la notazione additive. La funzione di decifratura escrow viene cos? calcolata in un modo distribuito e pienamente privato senza mai utilizzare o ricostruire la chiave privata di decifratura escrow Infine, LEA decifra CT in PT.

La parte di cifratura ? di K? ? necessaria per recuperare K e, in quanto tale, non viene inviata ai DEA. In una forma di realizzazione preferita dello Scenario 1, per garantire l?individuazione delle responsabilit? e minimizzare la fiducia necessaria in LEA, le parti di casualizzazione e di informazione di K? sono reciprocamente vincolate da una firma digitale del dispositivo endpoint trasmittente UEA. Pi? precisamente, ? ? in una forma firmata in cui la firma <? calcolata utilizzando una chiave privata a lungo termine di UE>A<, >possibilmente la stessa utilizzata nel protocollo crittografico per stabilire la chiave di sessione sopra descritto con riferimento alla Figura 3. In particolare, a tale scopo si possono utilizzare firme ElGamal.

In assenza di questo vincolo, le richieste di decifratura escrow parziale inviate da LEA ai DEA potrebbero comprendere una falsa parte di informazione ? insieme con il corrispondente certificato di autorizzazione valido Auth, il che potrebbe permettere a LEA di calcolare per un

autentico e da qui eseguire la decifratura non autorizzata di testo cifrato bersaglio. Ci? richiederebbe una collusione di LEA con MNOLI o MNOA<visit per inviare una richiesta illegittima di intercettazione legale a UE>A <e >sollecitarla a generare la corrispondente chiave di sessione cifrata di escrow. Per evitare simili abusi sar? sufficiente verificare questa firma solo in caso di controlli o controversie, qualora le transazioni dei DEA, memorizzate in modo sicuro in un database, debbano essere sottoposte a verifica. Ci? significa che la possibilit? di rilevamento funge da deterrente per simili abusi, senza che i DEA debbano confidare nelle chiavi pubbliche a lungo termine dei dispositivi per la verifica della firma.

Protocollo crittografico per due domini di intercettazione legale nello Scenario 2

Un protocollo crittografico preferito per il recupero condiviso di chiavi di sessione simmetriche per cifratura E2E nello Scenario 2 con due domini di intercettazione legale ? rappresentato nelle Figure 5a-5b. Questo protocollo ? basato sulla cifratura escrow di detta chiave di sessione simmetrica mediante due chiavi pubbliche rispettivamente di detti due domini di intercettazione legale, in cui, nella forma di realizzazione preferita relativa al caso in cui i dispositivi endpoint trasmittente e ricevente sono entrambi dispositivi endpoint bersaglio, detta cifratura escrow ? derivata da uno scambio di chiavi Diffie-Hellman effimere tripartito. Occorre notare che, nel caso in cui solamente il dispositivo endpoint trasmittente ? un dispositivo endpoint bersaglio nel dominio I oppure solamente il dispositivo endpoint ricevente ? un dispositivo endpoint bersaglio nel dominio II, un protocollo crittografico preferito ? quello gi? descritto con riferimento alla Figura 4 dello Scenario 1.

Prima di descrivere in dettaglio la soluzione mostrata nelle Figure 5a-5b si forniranno alcune definizioni e spiegazioni addizionali. Si indichino con (gruppo bersaglio) gruppi ciclici di un ordine primo elevato ?,? ad es. rispetto alla terminologia e alla notazione moltiplicative. Nel caso simmetrico, Una mappatura (o accoppiamento) bilineare ? una mappa con le seguenti propriet?: (1) bilinearit?:

(2) non-degenerazione:

per qualsiasi elemento non neutro (generatori)

e (3) calcolabilit?: ? ? efficacemente calcolabile. Se e sono sottogruppi primi di gruppi di curve ellittiche su campi finiti, le mappe bilineari sono chiamate accoppiamenti di curve ellittiche e la terminologia e la notazione utilizzate sono additive. Le mappature bilineari sono importanti in quanto consentono di utilizzare un protocollo in fase unica per lo scambio di chiavi Diffie-Hellman tripartito descritto, ad esempio, in A. Joux, ?A one round protocol for tripartite Diffie-Hellman,? Journal of Cryptology, vol. 17, pp. 263-276, 2004). In questo protocollo, tre entit?, ciascuna con una coppia di chiavi privata/pubblica Diffie-Hellman, possono calcolare una chiave segreta comune inviandosi reciprocamente la propria chiave pubblica in un singolo messaggio. In particolare, un?entit? pu?, conoscendo le chiavi pubbliche delle altre due entit?, stabilire la stessa chiave segreta comune a tali altre due entit? inviando loro la propria chiave pubblica, la quale pu? essere generata in modo casuale nell?ambiente effimero. Questo, insieme con la sottostante propriet? omomorfica della funzione esponenziale (in notazione moltiplicativa) e con la condivisione segreta ? l?essenza del protocollo crittografico preferito che sar? descritto qui di seguito maggiormente nei dettagli.

Durante la fase di configurazione distribuita (non centralizzata) del protocollo crittografico preferito secondo la presente invenzione, le n+1 entit? coinvolte (n DEAe LEA) nel dominio I e le m+1 entit? coinvolte (m DEA<II >e LEA<II>) nel dominio II generano e memorizzano le loro quote di chiave privata di decifratura escrow in un modo completamente distribuito e rispettoso della privacy, senza coinvolgere un mazziere di fiducia, come precedentemente descritto con riferimento alla Figura 4 dello Scenario 1. Le quote di chiave privata di decifratura escrow corrispondono ad un predefinito schema di condivisione segreta lineare su che nella forma di realizzazione preferita ? uno schema di condivisione segreta di soglia. Nella descrizione che segue si ipotizzer?, per semplicit?, che ? e che ? sia un generatore di un gruppo come nelle Figure 5a-5b. Una generalizzazione al caso asimmetrico in cui apparir? immediatamente chiara. Di conseguenza, nel dominio I LEAe n DEAscelgono in modo casuale da le corrispondenti quote di chiave privata di decifratura escrow (Diffie-Hellman) e e calcolano rispettivamente le quote di chiave pubblica di cifratura escrow e

i=1,?,n, e LEAI genera quindi la chiave pubblica di cifratura escrow come pondente chiave privata di

la quale non viene mai generata

o ricostruita in detto protocollo. Analogamente, nel dominio II LEAII e m DEAII scelgono in modo casuale da le corrispondenti quote di chiave privata di decifratura escrow (Diffie-Hellman) i=1,?,m, e calcolano rispettivamente le quote di chiave pubblica di cifratura escrow

i=1,?,m, e LEAII genera quindi la chiave pubblica di cifratura escrow come ndente chiave privata di

la quale non viene mai

generata o ricostruita in detto protocollo. Il processo viene ripetuto finch? ??? ,????? ? 1. Le chiavi pubbliche di cifratura escrow sono considerate fidate e sono note alle entit? LEA, DEA e MNO coinvolte.

Nel protocollo preferito di scambio di chiavi Diffie-Hellman effimere tripartito su rappresentato nelle Figure 5a-5b, un dispositivo endpoint trasmittente UEA genera una chiave di sessione cifrata di escrow K come

che comprende una parte di casualizzazione , una

parte di informazione ??? e una parte di cifratura e la invia come allegato a testo cifrato CT per essere utilizzata da LEAe dagli n DEAnel dominio I e da LEA<II >e dagli m DEA<II >nel dominio II per recuperare K e quindi decifrare CT in PT.

Pi? specificamente, UEA dapprima genera un (vero) numero casuale come chiave privata Diffie-Hellman effimera, e calcola la corrispondente chiave pubblica Diffie-Hellman effimera come parte di casualizzazione di K?, la quale ? necessaria per la decifratura escrow parziale. Data la bilinearit? della mappatura bilineare impiegata UEA calcola quindi come chiave comune nel protocollo di scambio di chiavi Diffie-Hellman tripartito e produce una parte di informazione di K? come n cui A, B ? un insieme ordinato TargetUE = A?B (vale a dire, sia A che B) di identit? di dispositivi endpoint bersaglio di intercettazione legale, LEA, LEA<II >? un insieme ordinato di identit? di LEA che richiedono l?intercettazione legale, e TS ? una marca temporale inviata a UEA da MNOA<visit>. Sia che ? sono quindi utilizzati per calcolare una parte di cifratura ? di K? come

in cui KDF ? una funzione di derivazione della

erazione di gruppo di cifratura (pi? in generale,

un?operazione di quasigruppo), come l?operazione XOR bit a bit di stringhe binarie. La parte di informazione ??? ? utilizzata per verificare l?autorizzazione all?intercettazione legale dai DEA, in entrambi i domini I e II, come descritto per lo Scenario 2 con riferimento alla Figura 2 e come specificato nel seguito.

Per recuperare detta chiave di sessione K dalla parte di cifratura ? di K? mediante decifratura escrow condivisa, LEAI (risp. LEAII) invia una richiesta di decifratura escrow parziale Req_Deci a DEAi (risp. DEA<II>i) comprendente un certificato di autorizzazione Auth= (LIA, LEA, ID, T)sign per ID= A (risp. Auth<II >= (LIA<II>, LEA<II>, ID<II>, T<II>)sign per ID<II >= B), firmato da LIA(risp. LIA<II>) e una richiesta (LEA, DEAi, (risp. (LEA<II>, DEA<II>i, firmata da LEA(risp. LEA<II>), per ogni i=1,?,n (risp, i=1,?,m).

DEAi (risp. DEA<II>i) verifica le firme in (LIA, LEA, ID, T)sign e (LEAI, DEAI

i, (risp. (LIAII, LEAII, IDII, TII)sign e (LEAII,

e verifica anche se IDI = A (risp. IDII = B), in cui TargetUE =

A?B da e se TS da ? appartiene a T(risp. T<II>). Se le verifiche hanno tutte esito positivo, allora, grazie alla bilinearit?, DEAi (risp. DEA<II>i) calcola il risultato di decifratura escrow parziale richiesto

e la propria quota di chiave privata di decifratura escrow e invia di ritorno il risultato cos? ottenuto a LEA(risp. LEA<II>). In caso contrario, DEAi (risp. DEA<II>i) invia in risposta a LEA(risp. LEA<II>) un ACK negativo. Nel primo caso, LEA(risp. LEA<II>) calcola il proprio risultato di decifratura escrow parziale utilizzando la propria quota di chiave privata di decifratura escrow e quindi la combina con i risultati di decifratura escrow parziale ricevuti dai DEA

secondo la propriet? omomorfica della funzione esponenziale, o della funzione di moltiplicazione scalare in notazione additiva. In una forma di <realizzazione preferita per applicazioni mobili, il sottostante gruppo ciclico >

? ? implementato come sottogruppo primo di un gruppo di curva ellittica

su un campo finito, utilizzando la terminologia e la notazione additive. La funzione di decifratura escrow viene cos? calcolata in un modo distribuito e pienamente privato senza mai utilizzare o ricostruire la chiave privata di escrow nel dominio I (risp. nel dominio II). Infine, LEA(risp. LEA<II>) decifra CT in PT.

In una forma di realizzazione alternativa, anzich? calcolare la parte di cifratura della chiave di sessione cifrata di escrow utilizzando simultaneamente dette due chiavi pubbliche di cifratura escrow di detti due domini di intercettazione legale attraverso il protocollo di scambio di chiavi Diffie-Hellman effimere tripartito, ? possibile calcolare e inviare individualmente due cifrature escrow della stessa chiave di sessione utilizzando dette due chiavi pubbliche di cifratura escrow attraverso il protocollo di scambio di chiavi Diffie-Hellman effimere bipartito, come descritto con riferimento alla Figura 4 anzich? nelle Figure 5a-5b.

In una forma di realizzazione preferita dello Scenario 2, cos? come nello Scenario 1, per garantire l?individuazione delle responsabilit? e <minimizzare la fiducia necessaria in LEAI e LEAII, le parti di casualizzazione >

? e di informazione ? di K? sono reciprocamente vincolate da una firma

digitale del dispositivo endpoint trasmittente UEA come In questo modo ? possibile rilevare eventuali false richieste di decifratura escrow parziale da LEAo LEA<II >in cui un autentico senza una valida autorizzazione all?intercettazione legale ? combinato con un falso

insieme con una valida autorizzazione all?intercettazione legale, allo scopo di ingannare i DEA e quindi permettere a LEAo LEA<II >di calcolare

autentici e quindi eseguire una decifratura non autorizzata di testo cifrato bersaglio. La possibilit? di rilevare tali abusi funge da deterrente e riduce la fiducia necessaria nelle LEA.

Implementazione sicura

La presente invenzione pu? essere implementata in modo tale da garantire propriet? di sicurezza e responsabilit?. La sicurezza dei protocolli e degli algoritmi crittografici utilizzati si basa su presupposti computazionali standard.

Ad esempio, in una forma di realizzazione preferita della presente invenzione, il processo per stabilire una chiave di sessione autenticata pu? essere basato su un protocollo di scambio di chiavi Diffie-Hellman effimere progettato e implementato in modo sicuro. Inoltre, in una forma di realizzazione preferita della presente invenzione, il recupero condiviso della chiave di sessione per cifratura E2E nel caso di un unico dominio di intercettazione legale pu? essere basato sulla cifratura escrow della chiave di sessione mediante la chiave pubblica di detto dominio di intercettazione legale secondo un protocollo di scambio di chiavi Diffie-Hellman effimere bipartito progettato e implementato in modo sicuro e applicando una funzione sicura di derivazione della chiave alla chiave di sessione cifrata di escrow appropriatamente assemblata.

In una forma di realizzazione preferita della presente invenzione, il recupero condiviso della chiave di sessione per cifratura E2E nel caso di due domini di intercettazione legale pu? essere basato sulla cifratura escrow della chiave di sessione utilizzando simultaneamente due chiavi pubbliche di detti due domini di intercettazione legale secondo un protocollo di scambio di chiavi Diffie-Hellman effimere tripartito progettato e implementato in modo sicuro.

Una delle misure che garantiscono l?individuazione delle responsabilit? delle entit? interne al sistema di intercettazione legale secondo la presente invenzione consiste nel conservare registri di controllo di record cronologici relativi a tutte le autorizzazioni all?intercettazione legale firmate digitalmente dalle LIA, sotto forma di certificati di autorizzazione, e le richieste di decifratura escrow parziale firmate digitalmente dalle LEA. Detti registri di controllo devono essere conservati in database ad integrit? protetta, centralizzati o distribuiti, con interventi tracciabili degli amministratori e accesso controllato ai record di dati. In alcune forme di realizzazione preferite, i registri di controllo possono essere conservati utilizzando tecnologia Distributed Ledger o Blockchain. Dal punto di vista organizzativo, l?accesso ai registri di controllo e l?eventuale controllo dei record memorizzati possono essere supportati da autorit? di risoluzione delle controversie. Insieme con un adeguato supporto normativo o legislativo, la possibilit? di rilevare abusi controllando detti database funge da deterrente contro eventuali attacchi interni.

Inoltre, allo scopo di garantire un?implementazione sicura, in una forma di realizzazione preferita della presente invenzione i DEA sono tenuti a memorizzare in modo sicuro ogni informazione privata di decifratura escrow in un modulo hardware protetto con caratteristiche anti-manomissione e ad eseguire tutti i calcoli su tali informazioni in detto modulo. In questo modo si impedisce un attacco doloso esterno o interno mirante ad estrarre dette informazioni private di decifratura escrow. In aggiunta, dette informazioni private di decifratura escrow devono preferibilmente essere aggiornate periodicamente.

Per soddisfare il requisito di mobilit? ai fini dell?intercettazione legale, si prevede che le chiavi di cifratura escrow e le corrispondenti informazioni private di decifratura escrow dipendano esclusivamente dal dominio di intercettazione legale, e non dal dispositivo endpoint trasmittente o ricevente. Ci? incentiver? i DEA ad applicare rigorose misure di sicurezza, poich? non sar? in tal caso possibile una divulgazione selettiva utente-specifica non autorizzata delle chiavi.

In una forma di realizzazione preferita della presente invenzione, per minimizzare il rischio di un attacco di collusione che coinvolga tutti i DEA e la LEA, insieme con gli MNO interessati, attraverso il quale si tenti di eseguire la decifratura non autorizzata di testi cifrati bersaglio in un dato dominio di intercettazione legale, i DEA e la LEA devono essere tra loro indipendenti in ambito amministrativo e tecnologico. La Richiedente osserva che, grazie alla propriet? della ?decryption escrow?, un tale ipotetico attacco richiederebbe la cooperazione fra tutte dette entit? per ogni singolo testo cifrato.

In una forma di realizzazione preferita della presente invenzione, i canali di comunicazione tra LIA, LEA, DEA e MNO devono essere protetti in termini di autenticazione, confidenzialit?, integrit? e riproduzione di messaggi trasmessi. Le richieste di attivazione comando devono essere inviate al dispositivo endpoint trasmittente via radio su un piano di controllo protetto, e in loro assenza devono essere inviate richieste di attivazione comando fittizie. In caso di malfunzionamento o comportamento improprio di un sottoinsieme di entit? nel sistema, le altre entit? potranno rilevare tale anomalia e prendere provvedimenti appropriati. Per minimizzare il rischio di implementazioni dolose di dispositivi endpoint, i calcoli di cifratura escrow devono preferibilmente essere eseguiti su elementi hardware sicuri con caratteristiche antimanomissione, come una scheda SIM di abbonato.

Un ulteriore vantaggio del sistema e del metodo secondo la presente invenzione consiste nel fatto che le informazioni private, come le chiavi private e le quote di chiavi private, sono generate localmente e non risultano mai esposte. Questa propriet? di riservatezza vale per i DEA, le LEA e gli utenti provvisti di dispositivi endpoint. Di conseguenza, a differenza delle attuali soluzioni secondo l?arte nota, non ? necessario ricorrere ad una terza entit? fidata per generare le chiavi di cifratura escrow e le quote di decifratura escrow.

In sintesi, il sistema e il metodo secondo la presente invenzione hanno propriet? vantaggiose, come decifratura escrow, mobilit?, fiducia minima, riservatezza, accesso a traffico dati bidirezionale e segretezza forward e backward, insieme con altre propriet? pi? comuni, come recupero condiviso, indipendenza, separazione degli accessi, individuazione delle responsabilit?, sicurezza e semplicit?.

Claims

RIVENDICAZIONI 1 . Metodo per la decifratura di messaggi cifrati end-to-end, in cui detti messaggi sono cifrati mediante cifratura di dati user piane, detto metodo comprendendo: - predisporre almeno un primo sistema informatico principale (LEA<1>) e uno o pi? primi sistemi informatici ausiliari (DEA'1 ..DEA'n) ; - generare e memorizzare, presso il primo sistema informatico principale (LEA<1>) e ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n), un rispettivo numero casuale x0?, x1 ?..xn?, in cui ognuno di detti rispettivi numeri casuali ? una quota in uno schema di condivisione segreta lineare, in cui il segreto ? x?, in cui detto segreto x? pu? essere ottenuto da x0? e un sottoinsieme arbitrario di k? di n detti rispettivi numeri casuali (x1 ?..xn?), in cui k? ? maggiore o uguale a 2 e minore o uguale a n, in cui il segreto x? non viene calcolato; - generare e memorizzare, presso il primo sistema informatico principale (LEA') e ognuno di detti primi sistemi informatici ausiliari (DEA'1 ..DEA'n), una rispettiva quota di una prima chiave pubblica di cifratura escrow, in base al rispettivo numero casuale; - inviare, da ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n) al primo sistema informatico principale (LEA'), la rispettiva quota della prima chiave pubblica di cifratura escrow; - calcolare, presso il primo sistema informatico principale (LEA'), una prima chiave pubblica di cifratura escrow combinando la quota della prima chiave pubblica di cifratura escrow del primo sistema informatico principale (LEA') con le quote della prima chiave pubblica di cifratura escrow dei primi sistemi informatici ausiliari, in cui x? ? una prima chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta prima chiave pubblica di cifratura escrow; - determinare, da parte di una rete di telecomunicazioni (TLC), che un primo dispositivo di utente ( UEA) sta per inviare dati user piane ad un secondo dispositivo di utente ( UEB) ; - determinare, mediante cooperazione tra il primo sistema informatico principale (LEA<1>) e detta rete di telecomunicazioni (TLC), se detto primo dispositivo di utente ( UEA) e/o detto secondo dispositivo di utente ( UEB) sono un bersaglio di intercettazione legale associata al primo sistema informatico principale (LEA<1>) ; - quando devono essere inviati dati user piane da detto primo dispositivo di utente ( UEA) a detto secondo dispositivo di utente ( UEB) e detto primo dispositivo di utente ( UEA) e/o detto secondo dispositivo di utente ( UEB) sono un bersaglio di intercettazione legale, configurare detto primo dispositivo di utente ( UEA) per generare: un messaggio cifrato end-to-end (CT) ottenuto cifrando, con una chiave di sessione (K), un messaggio in chiaro (PT) formato da detti dati user piane, in cui detto messaggio cifrato end-to-end (CT) ? destinato a detto secondo dispositivo di utente ( UEB) , per essere decifrato utilizzando la chiave di sessione (K) ; un allegato (K?) da associare a detto messaggio cifrato end-to-end (CT), in cui detto allegato (K?) include almeno una chiave cifrata di escrow (R), ottenuta cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto a detta prima chiave privata di decifratura escrow x?; - ricevere dal primo dispositivo di utente ( UEA) , presso il primo sistema informatico principale (LEA<1>) attraverso detta rete di comunicazioni (TLC), detto messaggio cifrato end-to-end (CT) e detto allegato (K?) ; - inoltrare, tramite detta rete di comunicazioni (TLC), detto messaggio cifrato end-to-end (CT) a detto secondo dispositivo di utente ( UEB) , senza detto allegato ( K?) ; - inviare, dal primo sistema informatico principale (LEA<1>) ad ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n), una richiesta di decifratura escrow parziale (Req_Dec) ; - ricevere presso il primo sistema informatico principale (LEA<1>), da ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n), una risposta di decifratura escrow parziale (Dee) calcolata in base al rispettivo numero casuale x i ? e calcolare un risultato di decifratura escrow parziale di detto primo sistema informatico principale (LEA') in base al numero casuale x0?; - decifrare detta chiave cifrata di escrow (K) presso il primo sistema informatico principale (LEA') utilizzando le risposte di decifratura escrow parziale (Dee) provenienti da un sottoinsieme di k? di n primi sistemi informatici ausiliari (DEA'1 ..DEA'n) e il risultato di decifratura escrow parziale di detto primo sistema informatico principale (LEA'), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; - decifrare detto messaggio cifrato end-to-end (CT) utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT) presso il primo sistema informatico principale (LEA').
2. Metodo secondo la rivendicazione 1 , comprendente ulteriormente: - predisporre un secondo sistema informatico principale (LEA") e uno o pi? secondi sistemi informatici ausiliari (DEA"1 ,.DEA"m) associati a detto secondo sistema informatico principale (LEA"); - generare e memorizzare, presso il secondo sistema informatico principale (LEA") e ogni secondo sistema informatico ausiliario un rispettivo numero casuale x0?, x1 ?..xm?, in cui ognuno di detti rispettivi numeri casuali ? una quota in uno schema di condivisione segreta lineare, in cui il segreto ? x?, in cui detto segreto x? pu? essere ottenuto da x0? e un sottoinsieme arbitrario di k? di m detti rispettivi numeri casuali (x1 ?..xm?), in cui k? ? maggiore o uguale a 2 e minore o uguale a m, in cui il segreto x? non viene calcolato; - generare e memorizzare, presso il secondo sistema informatico principale e ognuno di detti secondi sistemi informatici ausiliari una rispettiva quota di una seconda chiave pubblica di cifratura escrow, in base al rispettivo numero casuale; inviare, da ogni secondo sistema informatico ausiliario al secondo sistema informatico principale , la rispettiva quota della seconda chiave pubblica di cifratura escrow; - calcolare, presso il secondo sistema informatico principale

una seconda chiave pubblica di cifratura escrow combinando la quota della seconda chiave pubblica di cifratura escrow del secondo sistema informatico principale (LEA<M>) con le quote della seconda chiave pubblica di cifratura escrow dei secondi sistemi informatici ausiliari, in cui x? ? una seconda chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta seconda chiave pubblica di cifratura escrow; in cui l?intercettazione legale di detto primo dispositivo di utente ( UEA) ? associata a detto primo sistema informatico principale (LEA<1>) e l?intercettazione legale di detto secondo dispositivo di utente ( UEB) ? associata a detto secondo sistema informatico principale (LEA<11>); in cui, mediante cooperazione tra il secondo sistema informatico principale (LEA<11>) e detta rete di telecomunicazioni (TLC), si determina se detto secondo dispositivo di utente ( UEB) ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale (LEA<11>); in cui, se il primo dispositivo di utente ( UEA) ? un bersaglio di intercettazione legale associata al primo sistema informatico principale (LEA<1>) e il secondo dispositivo di utente ( UEB) non ? un bersaglio di intercettazione legale: detto primo dispositivo di utente ( UEA) ? configurato per generare la chiave cifrata di escrow (R) cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x?; detta chiave cifrata di escrow (R) viene decifrata presso il primo sistema informatico principale (LEA<1>) utilizzando risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e un risultato di decifratura escrow parziale del sistema informatico principale (LEA<1>), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detto messaggio cifrato end-to-end (CT) viene decifrato presso il primo sistema informatico principale (LEA<1>) utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT) ; in cui, se il secondo dispositivo di utente ( UEB) ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale (LEA<11>) e il primo dispositivo di utente ( UEA) non ? un bersaglio di intercettazione legale: detto primo dispositivo di utente ( UEA) ? configurato per generare la chiave cifrata di escrow (R) cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e detta seconda chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x?; una richiesta di decifratura escrow parziale viene inviata da detto secondo sistema informatico pr ogni secondo sistema informatico ausiliario

da ogni secondo sistema informatico ausiliario viene inviata una risposta di decifratura escrow parziale al secondo sistema informatico principale detta risposta di decifratura escrow essendo calcolata in base al rispettivo numero casuale xi?, e un risultato di decifratura escrow parziale di detto secondo sistema informatico principale viene calcolato in base al numero casuale x0?; presso il secondo sistema informatico principale

detta chiave cifrata di escrow (K) viene decifrata utilizzando le risposte di decifratura escrow parziale provenienti da un sottoinsieme di k? di m secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale

ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detto messaggio cifrato end-to-end (CT) viene decifrato presso il secondo sistema informatico principale

utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT) ; in cui, se il primo dispositivo di utente ( UEA) ? un bersaglio di intercettazione legale associata al primo sistema informatico principale (LEA<1>) e il secondo dispositivo di utente ( UEB) ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale (LEA<11>) : detto primo dispositivo di utente ( UEA) ? configurato per generare la chiave cifrata di escrow (R) cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e dette prima e seconda chiavi pubbliche di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x? ed ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x?; detta chiave cifrata di escrow (K) viene decifrata presso il primo sistema informatico principale (LEA<1>) utilizzando le corrispondenti risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto primo sistema informatico principale (LEA<1>), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detta chiave cifrata di escrow (K) viene decifrata presso il secondo sistema informatico principale utilizzando le corrispondenti risposte di decifratura escrow parziale provenienti dai secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale , ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detto messaggio cifrato end-to-end (CT) viene decifrato presso il primo sistema informatico principale (LEA<1>) e presso il secondo sistema informatico principale (LEA<11>) utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT).
3. Metodo secondo la rivendicazione 1 o 2, in cui detta chiave di sessione (K) ? una chiave simmetrica stabilita in comune da detti primo e secondo dispositivi di utente ( UEA, UEB) applicando un protocollo crittografico per stabilire una chiave autenticata.
4. Metodo secondo la rivendicazione 3, in cui detto protocollo crittografico ? un protocollo di scambio di chiavi Diffie-Hellman, DH, effimere basato su coppie di chiavi privata/pubblica DH a lungo termine generate localmente e memorizzate in modo sicuro in ognuno di detti primo e secondo dispositivi di utente ( UEA, UEB) .
5. Metodo secondo la rivendicazione 4, in cui detto protocollo crittografico comprende: generare una coppia di chiavi privata/pubblica DH effimere casuali del primo dispositivo di utente ( UEA) ; calcolare una chiave comune DH effimera da detta coppia di chiavi privata/pubblica DH effimere e detta coppia di chiavi privata/pubblica DH a lungo termine di detto secondo dispositivo di utente ( UEB) ; applicare una funzione di derivazione della chiave (KDF) a detta chiave comune DH effimera per ottenere detta chiave di sessione (K) da utilizzare per la cifratura a chiave simmetrica di dati user piane nella sessione.
6. Metodo secondo una qualsiasi delle rivendicazioni precedenti, in cui l?allegato (K?) include anche una parte di informazione (I nf), detta parte di informazione comprendendo: una prima indicazione che identifica detto primo e/o secondo dispositivo di utente ( UEA, UEB) come bersaglio di intercettazione legale; una seconda indicazione che identifica detto primo e/o secondo sistema informatico principale (LEA<1>, LEA<11>); una marca temporale (TS).
7. Metodo secondo la rivendicazione 6, in cui detta cifratura escrow della chiave di sessione (K) ? ricavata adattando un protocollo di scambio di chiavi DH effimere, la cifratura escrow della chiave di sessione (K) comprendendo: - generare una coppia di chiavi privata/pubblica DH effimere casuali di detto primo dispositivo di utente ( UEA) ; - calcolare una chiave comune DH effimera da detta chiave privata DH effimera di detto primo dispositivo di utente ( UEA) e dalla prima chiave pubblica DH di escrow PK di detto primo sistema informatico principale (LEA<1>) secondo il protocollo di scambio di chiavi DH standard; - generare la parte di informazione (Inf) della chiave di sessione cifrata di escrow concatenando identit? di detti primo e/o secondo dispositivi di utente ( UEA, UEB) quali bersagli di intercettazione legale, l?identit? di detto primo sistema informatico principale (LEA<1>) e detta marca temporale (TS) ; - applicare una funzione di derivazione della chiave (KDF) alla concatenazione di detta chiave comune DH effimera e detta parte di informazione (Inf), e quindi combinare il risultato in modo reversibile con la chiave di sessione per ottenere la parte di cifratura di detta chiave di sessione cifrata di escrow; - assemblare detta chiave di sessione cifrata di escrow concatenando detta chiave pubblica DH effimera, detta parte di informazione (Inf) e detta parte di cifratura; in cui detta decifratura escrow condivisa di detta chiave di sessione cifrata di escrow ? basata sulla propriet? omomorfica della funzione esponenziale nel sottostante gruppo ciclico DH con notazione moltiplicativa, rispetto all?addizione (modulare) di esponenti.
8. Metodo secondo la rivendicazione 6 quando dipendente dalla rivendicazione 2, in cui ognuno di detti primo e secondo sistemi informatici principali (LEA<1>, LEA") ? associato ad una rispettiva chiave pubblica DH di escrow PK<1 >o PK", ciascuna corrispondente rispettivamente a detto primo o secondo dispositivo di utente ( UEA, UEB) , in cui detta cifratura escrow della chiave di sessione ? ricavata adattando un protocollo di scambio di chiavi DH effimere tripartito, la cifratura escrow della chiave di sessione comprendendo: - generare una coppia di chiavi privata/pubblica DH effimere casuali di detto primo dispositivo di utente ( UEA) ; - calcolare una chiave comune DH effimera tripartita da detta chiave privata DH effimera di detto primo dispositivo di utente ( UEA) e dette chiavi pubbliche DH di escrow PK<1 >e mente di detti primo e secondo sistemi informatici principa secondo un protocollo di scambio di chiavi DH tripartito, utilizzando una mappatura bilineare su sottostanti gruppi ciclici DH; - generare la parte di informazione (Inf) della chiave di sessione cifrata di escrow concatenando identit? di detti primo e secondo dispositivi di utente ( UEA, UEB) quali bersagli di intercettazione legale, identit? di detti primo e secondo sistemi informatici principali (LEA<1>, LEA") e detta marca temporale (TS) ; - applicare una funzione di derivazione della chiave (KDF) alla concatenazione di detta chiave comune DH effimera tripartita e detta parte di informazione (Inf), e quindi combinare il risultato in modo reversibile con la chiave di sessione per ottenere la parte di cifratura di detta chiave di sessione cifrata di escrow; - assemblare la chiave di sessione cifrata di escrow concatenando detta chiave pubblica DH effimera, detta parte di informazione (Inf) e detta parte di cifratura; in cui detta decifratura escrow condivisa di detta chiave di sessione cifrata di escrow ? basata sulla propriet? omomorfica della funzione esponenziale risultante da detta mappatura bilineare nel sottostante gruppo ciclico DH con notazione moltiplicativa, rispetto all?addizione (modulare) di esponenti.
9. Metodo secondo una qualsiasi delle rivendicazioni precedenti, in cui, prima che detto primo dispositivo di utente ( UEA) sia configurato per generare detto allegato (K?), detto primo e/o secondo sistema informatico principale (LEA<1>, LEA<11>) : invia una richiesta di autorizzazione ad un rispettivo sistema informatico accreditato (LIA<1>, LIA<11>) ; riceve una risposta di autorizzazione da detto rispettivo sistema informatico accreditato (LIA<1>, LIA"), sotto forma di un appropriato certificato di autorizzazione all'intercettazione legale.
10. Metodo secondo una qualsiasi delle rivendicazioni precedenti, in cui detto primo e/o secondo sistema informatico principale

corrisponde alla rispettiva posizione corrente di detto primo e/o secondo dispositivo di utente ( UEA, UEB) in una rete mobile di comunicazioni, in cui, se detta posizione cambia nel corso di una stessa sessione, durante il processo di handover detto primo e/o secondo sistema informatico principale e la rispettiva chiave pubblica di cifratura escrow vengono sostituiti e la cifratura escrow della chiave di sessione presso il primo dispositivo di utente ( UEA) viene aggiornata in base alla variata prima e/o seconda chiave pubblica di cifratura escrow.
1 1. Metodo secondo una qualsiasi delle rivendicazioni precedenti, in cui detto schema di condivisione segreta lineare ? tale che detto primo e/o secondo sistema informatico principale non possa ottenere alcuna informazione in merito alla chiave di sessione senza rispettivamente detti primi e/o secondi sistemi informatici ausiliari (DEA'1 ..DEA'n, e che detti primi e/o secondi sistemi informatici ausiliari (DEA'1 ..DEA'n, DEA"1 ,.DEA"m) non possano autonomamente ottenere alcuna informazione sulla chiave di sessione.
12. Sistema per la decifratura di messaggi cifrati end-to-end, in cui detti messaggi sono cifrati mediante cifratura di dati user piane, detto sistema comprendendo almeno un primo sistema informatico principale (LEA<1>) e uno o pi? primi sistemi informatici ausiliari (DEA'1 ..DEA'n); in cui il primo sistema informatico principale (LEA<1>) e ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n) sono configurati per generare e memorizzare un rispettivo numero casuale x0\ x1 ?..xn?, in cui ognuno di detti rispettivi numeri casuali ? una quota in uno schema di condivisione segreta lineare, in cui il segreto ? x?, in cui detto segreto x? pu? essere ottenuto da x0? e un sottoinsieme arbitrario di k? di n detti rispettivi numeri casuali (x1 ?..xn?), in cui k? ? maggiore o uguale a 2 e minore o uguale a n, in cui il segreto x? non viene calcolato; in cui il primo sistema informatico principale (LEA') e ognuno di detti primi sistemi informatici ausiliari (DEA'1 ..DEA'n) sono configurati per generare e memorizzare una rispettiva quota di una prima chiave pubblica di cifratura escrow, in base al rispettivo numero casuale; in cui ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n) ? configurato per inviare al primo sistema informatico principale (LEA') la rispettiva quota della prima chiave pubblica di cifratura escrow; in cui il primo sistema informatico principale (LEA') ? configurato per calcolare una prima chiave pubblica di cifratura escrow combinando la quota della prima chiave pubblica di cifratura escrow del primo sistema informatico principale (LEA') con le quote della prima chiave pubblica di cifratura escrow dei primi sistemi informatici ausiliari, in cui x? ? una prima chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta prima chiave pubblica di cifratura escrow; in cui una rete di telecomunicazioni (TLC) ? configurata per determinare che un primo dispositivo di utente ( UEA) sta per inviare dati user piane ad un secondo dispositivo di utente ( UEB) ; in cui il primo sistema informatico principale (LEA<1>) e detta rete di telecomunicazioni (TLC) cooperano per determinare se detto primo dispositivo di utente ( UEA) e/o detto secondo dispositivo di utente ( UEB) sono un bersaglio di intercettazione legale associata al primo sistema informatico principale (LEA<1>); in cui, quando devono essere inviati dati user piane da detto primo dispositivo di utente ( UEA) a detto secondo dispositivo di utente ( UEB) e detto primo dispositivo di utente ( UEA) e/o detto secondo dispositivo di utente ( UEB) sono un bersaglio di intercettazione legale, detto primo dispositivo di utente ( UEA) ? configurato per generare: un messaggio cifrato end-to-end (CT) ottenuto cifrando, con una chiave di sessione (K), un messaggio in chiaro (PT) formato da detti dati user piane, in cui detto messaggio cifrato end-to-end (CT) ? destinato a detto secondo dispositivo di utente ( UEB) , per essere decifrato utilizzando la stessa chiave di sessione (K); un allegato (K?) da associare a detto messaggio cifrato end-to-end (CT), in cui detto allegato (K?) include almeno una chiave cifrata di escrow (K), ottenuta cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto a detta prima chiave privata di decifratura escrow x?; in cui il primo sistema informatico principale (LEA<1>) riceve dal primo dispositivo di utente ( UEA) , tramite detta rete di comunicazioni (TLC), detto messaggio cifrato end-to-end (CT) e detto allegato (K?), detto messaggio cifrato end-to-end (CT) essendo inoltrato a detto secondo dispositivo di utente ( UEB) , senza detto allegato (K?); in cui il primo sistema informatico principale (LEA<1>) invia ad ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n) una richiesta di decifratura escrow parziale (Req_Dec) ; in cui da ogni primo sistema informatico ausiliario (DEA'1 ..DEA'n) il primo sistema informatico principale (LEA') riceve una risposta di decifratura escrow parziale (Dee), calcolata in base al rispettivo numero casuale xi\ e calcola un risultato di decifratura escrow parziale di detto primo sistema informatico principale (LEA') in base al numero casuale xO?; in cui il primo sistema informatico principale (LEA') decifra detta chiave cifrata di escrow (R) utilizzando le risposte di decifratura escrow parziale (Dee) provenienti da un sottoinsieme di k? di n primi sistemi informatici ausiliari (DEA'1 ..DEA'n) e il risultato di decifratura escrow parziale di detto primo sistema informatico principale (LEA'), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; in cui il primo sistema informatico principale (LEA') decifra detto messaggio cifrato end-to-end (CT) utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT).
13. Sistema secondo la rivendicazione 12, comprendente ulteriormente un secondo sistema informatico principale (LEA") e uno o pi? secondi sistemi informatici ausiliari (DEA"1 ,.DEA"m) associati a detto secondo sistema informatico principale (LEA") ; in cui il secondo sistema informatico principale (LEA") e ogni secondo sistema informatico ausiliario (DEA"1 ,.DEA"m) sono configurati per generare e memorizzare un rispettivo numero casuale xO?, x1 ?..xm?, in cui ognuno di detti rispettivi numeri casuali ? una quota in uno schema di condivisione segreta lineare, in cui il segreto ? x?, in cui detto segreto x? pu? essere ottenuto da xO? e un sottoinsieme arbitrario di k? di m detti rispettivi numeri casuali (x1 ?..xm?), in cui k? ? maggiore o uguale a 2 e minore o uguale a m, in cui il segreto x? non viene calcolato; in cui il secondo sistema informati e ognuno di detti secondi sistemi informatici ausiliari no configurati per generare e memorizzare una rispettiva quota di una seconda chiave pubblica di cifratura escrow, in base al rispettivo numero casuale; in cui ogni secondo sistema informatico ausiliario ? configurato per inviare al secondo sistema informatico la rispettiva quota della seconda chiave pubblica di cifratura escrow; in cui il secondo sistema informatico principale ? configurato per calcolare una seconda chiave pubblica di cifratura escrow combinando la quota della seconda chiave pubblica di cifratura escrow del secondo sistema informatico principale con le quote della seconda chiave pubblica di cifratura escrow dei secondi sistemi informatici ausiliari, in cui x? ? una seconda chiave privata di decifratura escrow per decifrare stringhe che sono state cifrate con detta seconda chiave pubblica di cifratura escrow; in cui l?intercettazione legale di detto primo dispositivo di utente ( UEA) ? associata a detto primo sistema informatico principale (LEA<1>) e l?intercettazione legale di detto secondo dispositivo di utente ( UEB) ? associata a detto secondo sistema informatico principale (LEA<11>); in cui, se il primo dispositivo di utente ( UEA) ? un bersaglio di intercettazione legale associata al primo sistema informatico principale (LEA<1>) e il secondo dispositivo di utente ( UEB) non ? un bersaglio di intercettazione legale: la chiave cifrata di escrow (R) ? ottenuta cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e detta prima chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x ? ; detta chiave cifrata di escrow (R) viene decifrata presso il primo sistema informatico principale (LEA<1>), utilizzando risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e un risultato di decifratura escrow parziale del primo sistema informatico principale (LEA<1>), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detto messaggio cifrato end-to-end (CT) viene decifrato presso il primo sistema informatico principale (LEA<1>) utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT) ; in cui, se il secondo dispositivo di utente ( UEB) ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale

e il primo dispositivo di utente ( UEA) non ? un bersaglio di intercettazione legale: la chiave cifrata di escrow (R) ? ottenuta cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e detta seconda chiave pubblica di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x?; una richiesta di decifratura escrow parziale viene inviata da detto secondo sistema informatico pr ogni secondo sistema informatico ausiliario

da ogni secondo sistema informatico ausiliario viene inviata una risposta di decifratura escrow parziale al secondo sistema informatico principale detta risposta di decifratura escrow essendo calcolata in base al rispettivo numero casuale xi?, e un risultato di decifratura escrow parziale di detto secondo sistema informatico principale viene calcolato in base al numero casuale x0?; presso il secondo sistema informatico principale (LEA<M>), detta chiave cifrata di escrow (R) viene decifrata utilizzando le risposte di decifratura provenienti da un sottoinsieme di k? di m secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detto messaggio cifrato end-to-end (CT) viene decifrato presso il secondo sistema informatico principale

utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT) ; in cui, se il primo dispositivo di utente ( UEA) ? un bersaglio di intercettazione legale associata al primo sistema informatico principale (LEA<1>) e il secondo dispositivo di utente ( UEB) ? un bersaglio di intercettazione legale associata al secondo sistema informatico principale (LEA<11>) : la chiave cifrata di escrow (R) ? ottenuta cifrando detta chiave di sessione (K) utilizzando una funzione di cifratura escrow e dette prima e seconda chiavi pubbliche di cifratura escrow, in cui una funzione di decifratura escrow corrispondente a detta funzione di cifratura escrow ? omomorfica rispetto alla prima chiave privata di decifratura escrow x? ed ? omomorfica rispetto alla seconda chiave privata di decifratura escrow x?; detta chiave cifrata di escrow (R) viene decifrata presso il primo sistema informatico principale (LEA<1>) utilizzando le corrispondenti risposte di decifratura escrow parziale provenienti dai primi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto primo sistema informatico principale (LEA<1>), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detta chiave cifrata di escrow (K) viene decifrata presso il secondo sistema informatico principale (LEA<11>) utilizzando le corrispondenti risposte di decifratura escrow parziale provenienti dai secondi sistemi informatici ausiliari e il risultato di decifratura escrow parziale di detto secondo sistema informatico principale (LEA<11>), ottenendo in tal modo la chiave di sessione (K) in modalit? condivisa; detto messaggio cifrato end-to-end (CT) viene decifrato presso il primo sistema informatico principale (LEA<1>) e presso il secondo sistema informatico principale (LEA<11>) utilizzando detta chiave di sessione (K), ottenendo in tal modo detto messaggio in chiaro (PT).
14. Sistema secondo la rivendicazione 12 o 13, in cui detta rete di comunicazioni (TLC) ? una rete mobile di comunicazioni in grado di supportare detti requisiti funzionali addizionali, in cui detto primo dispositivo di utente ( UEA) e detto secondo dispositivo di utente ( UEB) sono implementati sotto forma di dispositivi mobili di comunicazione.